WordPressのアカウント名「admin」を変更・削除する方法
たしか今年の春頃に世界的にアナウンスがありましたが、WordPressのログインアカウント名が「admin」のブログ・サイトに対し、ハッカー達が大規模な無差別攻撃を行っているというニュース。
昨日このハッカーによる攻撃がらみの話題がネットで再浮上していたので、こちらのブログでも攻撃の回避方法を掲載しておこうと思います。
攻撃の回避方法と言ってもこの方法を行えば一切の攻撃を受けないという補償はありません。ですが少なくとも「admin」というログインアカウントを引き続き使い続けるよりもはるかに安全性は増します。
一番簡単でいて安全性が増す回避方法は、adminアカウントを削除してしまう方法です。
ログインアカウント名が「admin」のブログ・サイトに対しハッカーが攻撃を仕掛けることが多いので、単純に攻撃対象にならないアカウント名に変更するということです。ただしそのままではadminアカウントは削除できませんので、削除方法を解説します。(adminという名称を変更することもできません)
まず作業をはじめる前に、かならずデータベースのバックアップを行っておいてください。データベースをバックアップしなくても作業はできますが、もし万が一ミスした場合今まで投稿したデータが削除されてしまう可能性があります。
もしもバックアップの仕方がわからない方はご自身で行わず、サーバ管理者やサイト管理者に相談してください。
それでは手順です。
1. 新規ユーザを追加する
管理画面のユーザ > 新規追加 にアクセスして、新たにユーザを追加します。
ユーザ名はできれば辞書に載ってないような固有な文字列を使用しましょう。adminじゃなければ良いと言うわけではなく、例えば「root」や「administrator」などでは引き続き攻撃対象になりかねません。
パスワードはなるべくアルファベット、数字、記号を混ぜて、パスワードの強度が「強力」となるまでになれば良いでしょう。
権限グループは「管理者」を選択します。
2. adminアカウントを削除
いったん管理画面をログアウトしてください。ログアウト後に先程作成したアカウントで再ログインをします。
管理画面のユーザ一覧を見ると adminアカウントが削除できるようになっていますので、「削除」をクリックします。
今までadminが投稿したデータをどう処理するか確認するページが開きます。
3. 今までの投稿を新規ユーザの投稿扱いにする
「すべての投稿を以下のユーザーにアサイン」を選択して、先程作成したユーザをセレクトします。
削除を実行するとadminアカウントは削除され、いままでadminが投稿したデータは新しいユーザの投稿になります。
投稿データが多い場合は削除を実行し削除完了するまで時間がかかる場合があります。じっくり待って下さい。焦ってボタンを連打とかしないで下さいね。
WordPressを健康に保つには、まずはバージョンアップを早急におこなうことが大切です。メジャーアップデートのみ行うという方がたまにいますが、マイナーアップデートにはセキュリティに関するアップデートが含まれる事が非常に多いので、マイナーアップデートもこまめに行いましょう。(アップデート前にプラグインの対応状況の確認はわすれずに)