セキュリティ対策に先手を。WordPressのデフォルトadminユーザーを変更する。

セキュリティ
photo credit: hide99 via photopin cc

最近、ネット上でこんなニュースが話題になっていました。

全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている | TechCrunch Japan

恥ずかしながら、自分が関わっているサイトの幾つかもデフォルトのadminユーザを使っている状態でしたので、大あわてでadminユーザを変更しておきました。

攻撃を受けてからでは遅い!後で後悔しないように、同じような立場の方はお早めに変更することをおすすめします。

以下に、adminユーザの変更方法をご紹介します。

作業の流れ

adminユーザの変更手順は大まかに次のような流れで進めていきます。

  • 現在のバックアップを取る。
  • 新しい管理者ユーザを作成する。
  • adminユーザを削除する。

では、それぞれの作業内容を見てみます。

バックアップを取っておく

何はともあれ、何か失敗しても元の状態に戻せるようバックアップは取っておきましょう。

バックアップの取り方は幾つか方法があると思いますが、下記のサイトなどを参考にしてみてください。

新しい管理者ユーザを作成する

まず、ユーザー一覧画面からいきなりadminユーザを削除しようとしても、削除リンクが表示されず削除は行えません。

ユーザー一覧

まず先に、adminの代わりに使用する新しいユーザーを作成します。

20130414_admin_modify2

権限グループを「管理者」として作成するように、気を付けてください。

adminユーザを削除する

新しいユーザを追加してからユーザー一覧画面を開くと、adminの削除リンクが押せるようになりますので、削除をクリックします。

20130414_admin_modify3

削除クリック後、ユーザーの削除確認画面が表示されるので、削除を実行してください。

ユーザー一覧

ただし、削除確認時には2つのことに気を付けてください。

1つ目は、「すべての投稿を以下のユーザーにアサイン」に必ずチェックを入れること(「全ての投稿を削除する」を選択すると過去のエントリが削除されてしまう!)。

2つ目は、アサインするユーザに先ほど新しく作ったユーザを指定すること。

まとめ

以上で、adminユーザを変更する作業はおしまいです。

これだけの作業で被害を受ける可能性を減らせるのであれば、やっておくに越したことは無いと思います。

まだ、対応されてない方はぜひ!

この記事を書いた人

ko31

岩手県出身、群馬県在住のフリーランスWeb系エンジニアです。
Webシステム・アプリ、Webサービス、WordPress開発等を雑多にこなしています。バンカラ応援好きの振り飛車党。
PHP / WordPress / 高校野球 / 将棋 / WordPress / ブログ / 食べること / 二児の父親

>>もっと詳しいプロフィールはこちら

お仕事のご相談・お問い合わせ

当ブログの管理人は、Gosign(ゴーサイン)という屋号でフリーランス Web エンジニアとして活動しています。
ブログの掲載内容はもちろん、Web サイト制作や Web アプリケーション開発などのご相談・ご質問がありましたら、どうぞお気軽にお問い合わせください!

合わせて読みたい記事