WordPressのadminアカウントについて

投稿日 2013/04/17

こんにちは、yotsuです。

WordPressのadminアカウントへの不正ログインがニュースとなっています。
http://japan.internet.com/webtech/20130416/1.html

これは、

・旧バージョンのWordpressは、インストール時に「admin」アカウントが管理者として作成される。
・Ver3以降では、管理者アカウントはインストール時に変更出来るが、初期値が「admin」で変更しないでインストールされる場合が多い。
・一度登録した管理者アカウントは、インストール後には画面上で変更出来ない。

という理由によりWordpressがインストールしてあると、「admin」アカウントが存在する
場合が多く、ここをパスワードの総当たりで狙われてしまう状況になっている様です。

これを解決するには、

1.インストール時に「admin」アカウントを作成しない
Ver3以降であれば、インストール時に管理者アカウント名を設定出来るので、
多少面倒でも別のアカウント名を設定する。

2.「admin」でインストールしてしまい、運用してしまっている場合
本問題で狙われてしまうのは、主にこの状況になると思います。
この場合、Wordpressの管理画面上では、パスワードの変更しかできず、どうしても「admin」アカウントは残ってしまうため、パスワードの総当たりをされると、いつかクリアされてしまうことになります。
これを解決するには、データベース上のユーザ情報を直接変更して、アカウント名を変えてしまうのが手っ取り早くて確実かと思います。

phpMyAdminが利用可能な場合には、下記の手順で対応できます。

1.MySQLの管理画面「phpMyAdmin」にログインする
レンタルサーバーなどでWordpressを構築している場合は、
大体のレンタルサーバーでは、コントロールパネルにphpMyAdminへ誘導があるかと思います。

2.ユーザーテーブルを確認する
Wordpress用データベース内に「wp_users」というテーブルがあります。
※テーブル名はインストール時にカスタマイズしてある可能性があります。

phpmyadmin1
※実際のphpMyAdminの画面はバージョンにより異なります。

 

3.「admin」データを編集する
対象データの鉛筆(?)アイコンから編集画面に移動し、「user_login」を
任意のIDに変更し、「保存」もしくは「実行」ボタンにより編集を確定します。

phpmyadmin2
※実際のphpMyAdminの画面はバージョンにより異なります。
 

 

 

次回からログインするときには、「admin」ではなく、変更したIDでログインすることになります。

結構面倒ですが、もし上記状況に該当してしまう場合は、早急に対策をするべきかと思います。
放置していると、万一不正アクセスを受けた場合、管理者ログインされることになってしまい、
Webサイトの改ざんや、データの削除などの被害を受けてしまうことになります。
念には念のセキュリティ対策を。

関連する記事

トラックバック

コメント

コメントする