ディーエムガジェット

WordPressのTips備忘録を中心にComputer全般やデジモノ、ガジェット、アプリ紹介など

WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名(admin)を変更

      2015/02/16

WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名(admin)を変更

前回と前々回に渡って紹介してきた、WordPressの基本的なセキュリティー対策と脆弱性対策が出来るプラグイン「Acunetix WP Security」ですが、今回もまだ残っている「セキュリティー対策が必要な項目」の対処方法を備忘録として残したいと思います。

スポンサーリンク

WordPress[Acunetix WP Security] 基本的なセキュリティー対策と脆弱性対策

ちなみに前々回に投稿した記事はこちら、WordPress[Acunetix WP Security] 基本的なセキュリティー対策と脆弱性対策です。「Acunetix WP Security」導入方法など基本的な事を投稿させて頂きました。そして前回は、Acunetix WP Security内での「対策が必要な項目」として表示されていた「”.htaccess”ファイルは”wp-admin”ディレクトリー内には見つかりません。」の対策方法WordPress[.htaccess] 管理画面へのアクセスを日本国内限定にするを備忘録として投稿させて頂きました。そして今回はこちら、

WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名(admin)を変更

赤色で警告されている「今すぐ対処すべき項目」の「管理者権限を持つユーザadminは見つかりませんでした。」と、黄色で警告されている「マストではないが早急に対応すべき」の「”install.php”ファイルは”/wp-admin”ディレクトリー内で見つかりました。」と「”upgrade.php”ファイルは”/wp-admin”ディレクトリー内で見つかりました。」の対策方法を備忘録として残したいと思います。

今回も前回同様OSXローカル環境にwordpressをインストールする方法で構築したローカル環境内にインストールしたテスト用WordPressにて対策方法を行います。

スポンサーリンク

WordPressのユーザー名(admin)を変更、又は削除する方法

先日も紹介しましたが「Web論」さんで紹介していたこちらの記事、

http://webron.jp/webmaster/12756

CloudFlare使ってる場合じゃない!海外IPからのWordPressへの攻撃がマジで半端無くなってきてる…IDまで突き止められた! | Web論

にも書いてありますが、「admin」アカウントで何回も管理画面へのログインを試みています。去年ぐらいから特に増えてきたブルートフォースアタックで、

ブルートフォースアタック
Brute Force Attack/Brute Force Password Cracking
 Brute Forceとは「力ずくで、強引に」という意味で、文字どおり力ずくで暗号を解読して、パスワードを取得する攻撃手段のことを指す。

 パスワードの取得のため、辞書ツールを使いあらゆる文字の組み合わせで総当たりを試み、暗号の解読のためには考えられるすべての暗号鍵をリストアップして暗号文の切れ端を復号化できるか試みる。 

 非常に効率の悪い方法であるが、認証失敗回数制限によりIDが凍結されない限り、パスワードが取得されてしまう可能性がある。そのためにも定期的にパスワードを変更されることや、判明しやすい「平易な英単語」を含むものは使用しないことが推奨されているのである。数字だけなどというのはもってのほかで、あっという間に解読されてしまう。@ITさんより引用させて頂きました。

対策しなければいつか力ずくてログインされ改ざんされてしまうと云う事も十分に考えられます。早速adminアカウントを変更しましょう。

新しいアカウントを作成

管理画面の左のサイドバーからユーザー → 新規追加をします。

WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名(admin)を変更

ログインする時の「ユーザー名」を入れたら次に「メールアドレス」を入れるのですが、このメールアドレスは「admin」アカウントとは違う物にする必要があります。adminアカウントのメールアドレスにしたいかたは、先にadminアカウントのメールアドレスを変更するか新しいアカウントのメールアドレスを一時的に違うアドレスに変更しておいて、adminアカウントを削除後に変更してください。次にその他パスワードなど必要事項を記入します。

「権限グループ」を管理者に変更したのち一番下の「新規ユーザーを追加」をクリックします。

WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名(admin)を変更

ユーザーのページで新しいアカウント「test」が登録されました。そしてadminアカウントはもう必要がないので上記のように「削除」ボタンをクリックしてアカウントを削除します。adminアカウントにログインしたままでのadminアカウントの削除は出来ないので、一旦ログアウトして先程作成した「test」アカウントでログインします。ログイン後、先程のユーザーのページに行きadminアカウントを削除します。

WordPress[Acunetix WP Security] セキュリティー対策としてユーザー名(admin)を変更

削除ボタンをクリックすると上のような画面が表示されます。「すべての投稿を以下のユーザーにアサイン」の部分がちゃんと新しいアカウントになっているか確認します。確認後「削除を実行」で削除します。削除後にWP Securityのダッシュボードで確認しても「デフォルトユーザの”admin”は見つかりませんでした。」の項目は赤のままですが、しばらくしてからもう一度ダッシュボードに接続してみてください。

スポンサーリンク

install.phpとupgrade.phpを/wp-adminから削除

transmitや

Transmit
カテゴリ: ユーティリティ
現在の価格: ¥3,400

同じく有名なCyberduckのようなFTPクライアント

Cyberduck
カテゴリ: 仕事効率化
現在の価格: ¥2,400

を使用して/wp-adminから「install.php」と「upgrade.php」を削除します。「install.php」はWordPressをアップグレードすると自動的に作成されてしまうらしいので、ちょっと面倒くさいですが毎回削除する事が必要になります。

完成

いかがだったでしょうか?アカウント名がadminのままでご使用の方へ向けての備忘録として投稿させて頂きました。「Acunetix WP Security」を使った基本的なセキュリティー対策関係の投稿をあと二回ぐらい予定しています。読んで頂いてありがとうございました。

 - WORDPRESS

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


  関連記事

WordPress[Tweetily] 過去記事を自動ツイートする方法
WordPress[Tweetily] 過去記事を自動ツイートする方法
WordPressテーマ「Stinger3」の「続きを読む」を右側へ移動する方法
WordPressテーマ「Stinger3」の「続きを読む」を右側へ移動する方法
WordPress[Stinger3用 子テーマ]フォントを変更する方法
WordPress[Stinger3用 子テーマ]フォントを変更する方法
WordPress[Ultimate TinyMCE] ビジュアルエディタを拡張するプラグイン
WordPress[Ultimate TinyMCE] ビジュアルエディタを拡張するプラグイン
WordPress Backup to Dropbox
バックアップ命「WordPress Backup to Dropbox」を導入
wordpress人気テーマSTINGER3の広告を2つ並べるカスタマイズ
WordPress[Stinger3] 広告を2つ並べるカスタマイズ
WordPress[Stinger5] プラグインなしで背景を画像にする
WordPress[Stinger5] プラグインなしで背景を画像にする
WordPress[Public Post Preview] 記事を限定公開する
WordPress[Public Post Preview] 記事を限定公開する
WordPress[Acunetix WP Security] テーブル接頭辞を簡単に変更する
WordPress[Acunetix WP Security] テーブル接頭辞を簡単に変更する
WordPress 検索エンジン用サイトマップを作成する方法
WordPress 検索エンジン用サイトマップを作成する方法