WordPressはadminを変更するだけでは不十分

 
私の場合、未だにMTの比率が高いのですが、それでもサテライトなどWordPressを使う機会も増えてきました。利用者数が多いことに起因するのだとは思いますが、MTに比べてセキュリティ関連の問題が多いように感じてしまいます。

初期値のadminのまま使っていてサイトを乗っ取られる被害が多発しましたが、ユーザー名を変えるだけでは、対策としては不十分のようです。

検索すれば関連する情報は沢山出てくるとは思いますが、私が行っているユーザー名関連の対策をまとめてみました。

adminから別のユーザー名に変える

これからインストールする人は問題ありませんが、既にadminや短いユーザー名の方は、ユーザー名を変更する必要があります。
しかし、WordPressはユーザー名の変更が行えないので、新たにユーザーを追加して、adminを削除するか、Admin renamer extendedなどのプラグインを使って変更します。


ユーザー名とニックネームを変える

せっかくユーザー名を変更しても、ニックネームが同じだとユーザー名が丸見えになってしまいます。ユーザー名と異なるニックネームを設定して、ブログ上の表示名を変えてください。変更はユーザー・プロフィールで行います。


投稿者アーカイブページを変える

ここまで変えればユーザー名が知られることはないのかと思ったらまだありました。
WordPressでは、投稿者アーカイブページが作られるのですが、そのURLがユーザー名になっています。

テンプレートから投稿者アーカイブへのリンクを無くしても、サイトURLの後に「?author=1」を付けて数字を増やせば簡単にユーザー名がバレてしまうのです。

この対策には、投稿者アーカイブページのURLを任意に設定できるプラグイン「Edit Author Slug」などを使います。

プラグインの新規追加で「Edit Author Slug」を検索し、インストールして有効化すると、先ほどのユーザー・プロフィールの最後にAuthor Slugの項目が追加されますので、ユーザー名以外に変更します。



あとは基本ですが強固なパスワードを使用することだと思います。
アルファベットの大文字小文字、数字、記号を混ぜて8文字以上にするなどでしょうか。

Simple Login lockdownなど一定時間内のログイン回数を制限するプラグインもありますが、あまり複雑にしても管理が大変になるので難しいところです。


最低でもこの程度のセキュリティ対策は行なって、随時必要な対応を行なっています。

個人的な感想ですが、wpよりmtの方が運用面でも楽なので好きですね。

 

やくにたったらクリックをお願いします。
人気blogランキング




このBlogのトップページへ▲

この記事へのトラックバックURL

http://trackback.blogsys.jp/livedoor/isogin88/52515833
この記事に関するコメントをお寄せください。
疑問や質問など、なんでも結構ですので、気軽に書き込んでください。
(必須)