WordPressのセキュリティ対策。ユーザー名晒していませんか?

ユーザー管理 WordPress

多くのWordPressサイトで見落とされているユーザー名の重要性

WordPressインストール時に管理ユーザーのユーザー名とパスワードを決めます。
パスワードについてはそれなりに意識も高く、何文字以上とか大文字、小文字、英数記号を混ぜるなど推測が難しい文字列を設定しなければならないと思っている方が多いのです。

しかしユーザー名に関してはとても無頓着でドメインから推測が容易なユーザー名であったりユーザー名がそのままブログ上の編集者名として表示されている例もよく見かけます。

ログインに必要なユーザー名とパスワードは両方とも推測が難しいものにする

これはセキュリティの基本でもあります。
もちろん何重にもセキュリテイ対策を施して脆弱性リスクを下げる努力は必要ですが、一番基本的な部分を見落としていては意味がありません。

もっとも単純なことが一番大切だったりします。

WordPressログイン

ユーザー名を見直そう

ユーザー名はドメインから推測されそうな文字列は避けましょう。
お名前やメールアドレスから推測されそうな文字列も避けた方がいいでしょう。

またWordPressは登録メールアドレスをログイン名として使うこともできますので出来れば普段使っているアドレスとは別のアドレスを設定した方が賢明です。

ユーザー名とパスワードが両方推測が難しい設定ならば侵入されるリスクが下がります。
ユーザー名がわかっているならパスワードだけを当てればいいのですから、侵入しやすいサイトと判断されて頻繁に標的にされることになるでしょう。

ユーザー名が推測容易な場合:ユーザー名は変更ができません。
新しく管理ユーザーを作成し、古いユーザーを削除しましょう。
削除時にコンテンツのAutherを変更するメッセージが出ますので新しいユーザーに紐付けることをお忘れなく。

ダッシュボードのユーザー設定を見直す

WordPressの初期設定ではユーザー名が編集者名になっています。
初期設定のままではログインユーザー名をインターネット上に晒していることになります。
WordPressを狙う侵入者はまずこの編集者名で侵入を試みます。

回避する方法はダッシュボードのユーザー設定で登録している全てのユーザーでニックネーム設定を行います。日本語が使えますので日本語名にしておくと良いでしょう。もちろんですがログイン名が推測されやすいニックネームは避けましょう。

ユーザー設定でニックネームをつける

*ユーザー名を表示しないテンプレートを使用してもサイトURLに「/?author=1」をつけてアクセスするとユーザー番号に紐づいたユーザー名を表示してしまいます。ユーザー名を隠すプラグインを導入する方法もありますが、もともとある機能を利用すれば回避できますのでこちらがオススメです。

ログインIDを表示

‘https://www.takujiozaki.com/?author=1’でアクセスした例。
それっぽい名前にしていますが、adminUserはニックネームでユーザー名ではありません。

まとめ

ご紹介した内容はごくごく簡単なことですが、教わる機会も少なくリスクが高いことに気が付いていないケースもあり放置されているサイトをよく見かけます。

基本の基本です。費用もかかりませんし、ものの数分にで終わります。
ぜひ対処しておいてください。

コメント

タイトルとURLをコピーしました