投稿日: 投稿者: imovie

レンサバへ移行した皆さん、WordPressのadminユーザーを変更しましょう!!

レンサバへ移行して早くも1週間が経ちました。

———————————————————
<追記>
ナイス兄貴さんより指摘があり、現在はadminユーザではありません。
訂正して、お詫びします。
但し、WordPressをインストールすると、デフォルトのユーザー(管理者)が、ブログ上の表示名になっています。
つまり、インストールしたままの状態だと、ログインユーザが誰なのか、まるわかりの状態で運用しています。
ブログ上の表示名は、ニックネームを変えて、ログインユーザが判別できないようにするほうが賢明です。
注.ブログ上の表示名をニックネームに変更しても、過去のコメントの表示名まで変わりません。
また、パスワードは重要になりますので、長めのものを使って、特定されにくくする工夫が必要です。
管理が煩雑になりますが、二段階認証の導入もありかと思います。
———————————————————

そこで、私なりに得た知識で、これは重要というものがありますので、Tipsとして書きます。
WordPressをインストールすると、デフォルトのユーザー(管理者)が作成されます。

    デフォルトのユーザー名でログインしてブログを管理していませんか?

もしこのような状況であれば、大変危険です。
実は、「デフォルトのユーザー名=admin」なんです。
ハッカーは、ユーザー名adminに対して、パスワードアタックを仕掛けてくるので、運が悪ければ乗っ取られます。
(ハッカーの攻撃はこれだけではないのですが、わかり易く書いてます)
大切な自分のブログ管理は、adminユーザーを使わないように設定するほうが賢明です。
そして、セキュリティ対策のため、adminユーザーは削除することです。

詳しくは、以下のホームページをご覧下さい。

WordPressのadminユーザーを変更(削除)する方法。乗っ取られる前にセキュリティ強化!

注意点は、投稿した記事は、adminユーザーに紐づいています。
adminユーザーを削除する時は、新たに作った管理者に、投稿記事を紐づけないと全ての記事が消えます。

このTipsを検討した結果、実行する場合は、自己責任でお願いします。

実行する場合は、よく手順を確認して下さい。
手順を誤ると、投稿記事が消えますので、データのバックアップ、テスト環境で手順の確認は必須です。

“レンサバへ移行した皆さん、WordPressのadminユーザーを変更しましょう!!” への4件の返信

  1. この情報は古いので、但し書きが必要だと思います。
    少なくとも今年レンサバへ移行した方には当てはまらない Tipsでしょうか。
    ※現在のWPはインストールでデフォルトのユーザー admin を作らない。

    これまで何度もWPをインストールしましたが、adminに出会ったことはありません。
    iMovieさんも見覚えは無いのでは?

    返信

    1. ナイス兄貴さん、こんにちは
      今のバージョンではadminではないですね。訂正記事を追加します。
      ご指摘ありがとうございます。
      今、セキュリティの設定を見直しています。
      ・ログインユーザー名をブログ上の表示名にしていたので、新たに管理ユーザーを作って、ログインユーザが判らないよう変更。
      ・管理ユーザーのパスワードを長くする。
      ・二段階認証にする。
      ’そして、.htaccessを弄り始めています。.htaccessファイルの保護、wp-config.php保護等です。

      返信

  2. このadminの記事はとても気になりました。
    現在ではadminユーザーを生成しないものの、初期のユーザーが管理者になっているケースは多いでしょうから、意味合いとしては同じだと思いました。
    しかし、WPは必ずしもレンサバで行われているわけではなく、むしろ無料サーバーで利用している人が多いように思います。
    そういったサーバーはセキュリティ面も無料のレベルでしかないので、我々が利用しているところは、主たる攻撃元となるであろう、海外IPからのログインができませんし、ブルートフォースアタックのような攻撃にも対応してくれていたように思います。
    強引なログイン対策はWPのプラグインでもできますね。
    一時期は少し気になったのですが、レンサバのセキュリティとWPのプラグインに加え、今ではゴキブリホイホイがかなり有効に機能しているので、注意はしますがそこまでシビアに考えなくても良いと判断しております。

    返信

    1. reotaさん、こんにちは
      私の、今の知識レベルが浅くて、セキュリティ対策をどうするか、課題が多いです。
      一点気になるのが、ブラウザで
      「http://blog.mewiigl.net/?author=1」と入力すると、リダイレクトされて、
      「http://blog.mewiigl.net/archive-author/imovie」と返すことです。
      最後の「imovie」で、ログイン名を公表していることになります。
      投稿記事はニックネームを使って、ログイン名を特定させないことと、リダイレクトした時に返すURLから、ログイン名を特定させない工夫をしています。
      「Edit Author Slug」というプラグインを使って、別の名前に変えました。
      そこまでする必要があるのか、判断できませんが、安全策をとっています。
      管理者を弄ってますので、
      「http://blog.mewiigl.net/?author=2」と入力して、どうリダイレクトされるのか、ご覧下さい。

      返信

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です