米国セキュリティ機関のUS-CERTによると、ブルートフォース攻撃と呼ばれる手段によりWordPressの「admin」ユーザーのパスワードの奪取、及び管理画面の制御を行うための大規模な攻撃が続いています。
WordPressの管理者ユーザー名を「admin」に設定していると、この攻撃をもろに受けてしまう可能性があります。WordPressインストール時のユーザー名はデフォルトだと「admin」なので、そのまま使っている人は意外と多いのではないでしょうか。
今回はWordPressのユーザー「admin」を削除する方法について解説します。
ブルートフォース攻撃とは
暗号やパスワードを解読、解析するための手法のひとつである。考えられる全ての暗号鍵を自動化されたプログラムによってひたすら入力し、復号化プログラムによって、暗号が意味のある文字列になるかどうかを試行錯誤しながら調べて行く方法。どのような形態の暗号に対しても攻撃できるが、鍵の長さが増えると考えられる鍵のパターンの数は幾何級数的に増大するため、効率の悪い攻撃方法であるといえるが、実際の攻撃はコンピュータが行うため、時間さえかければ有効な方法であると言える。
LINK:ブルートフォースアタックとは
「admin」で運用している管理者は、攻撃を受けにくくするためにユーザー名を変更するようにしましょう。
WordPressのログインユーザー名の変更方法
新規管理者ユーザーを追加してから、adminユーザーを削除します。
- WordPressの管理画面の左メニュー[ユーザー] → [新規追加]
- [ユーザー名][メールアドレス][パスワード]を入力し、権限グループは[管理者]を選択。入力後[新規ユーザーを追加]をクリック。
- 新しい管理者ユーザーでログインし直します。
- 左メニュー[ユーザー]→ [ユーザー一覧]を表示。
- ユーザー名「admin」にオンマウスして[削除]を選択。
- 「すべての投稿を以下のユーザーにアサイン」にチェックを入れ、プルダウンメニューより新しい管理者ユーザーを選択して[削除を実行]をクリック。
最後の手順は絶対に間違えないようにしましょう。新しいユーザーでアサインしないと、おそらく「admin」で投稿した記事が全て消えてしまうかもしれません。
