WordPressセキュリティ・ユーザー名とパスワードを複雑に
公開日:
最終更新日:2023/12/18
ユーザー名の変更
ワードプレスのログイン時は、「ユーザー名」と「パスワード」が必要です。
リスト攻撃を受ける場合、まず推測されるユーザー名を打ち込まれます。
いまでこそ減ってきましたが一番多いのが管理者を意味する administar 及び admin
この2つがユーザー名になっている場合は、今すぐにでも変更してください。
プログラマーがシステムを構築する際につかっていたこの administar と admin が、ワードプレスにも同様に使われるようになり、一時期はみんなこのadmin を使っていました。
ワードプレスを組み込んだホームページが一般的になり、クライアント納品時にユーザー名をこのadminにしていることが当たり前なごとく多い時期もありました。
次に多いのが
ドメインから推測されるもの
例えば、弊社のホームページでいうとドメインは gorilla-web.net なので ユーザー名に gorilla-web.net や gorilla-web 、 gorillaweb のように少し変化させたものを使用するケース。
これもリスト攻撃では即使われます。 ドメイン名から簡単に推測できるユーザー名は即変えましょう。
何にしてもユーザー名はバレる
ユーザー名を推測されにくいものにしても、ユーザー名が特定できるポイントはサイト内の各所にあります。テーマにもよりますが、ほとんどの場合記事の一覧ページや記事詳細ページなどに誰がこの記事を書いたのかを表示するリンクが生成されます。 テーマphpから該当するソースを削除すれば別ですが、これがあるだけですぐにユーザー名はばれてしまいます。
ページ下部のリンクからユーザー名を隠す方法をご確認ください。
パスワードの変更
後日また記事にしますが、これ以外にもユーザー名を割り出す方法はいくつもあります。 ユーザー名がばれてしまったら、次はパスワードを突破すればいいだけなので、壁はだいぶ低くなっている状態です。
リスト攻撃では、コンピューターがパスワード枠に、推測される文字列やランダムな文字列を自動で生成して、オートマチックに何度も何度もアタックして突破を試みます。
人間がチマチマ手入力しているわけではなく、全てオートマチックに行われるため一度に何百回、何千回とアタックされ、いずれ突破されます。
なので、アルファベット、大文字小文字、数字、記号などを組み合わせたパスワードにしましょう。自分で暗記できるレベルのものではなく、自分でも毎回メモを見ないとわからないくらいのものにします。
ユーザーをソースから消す・パスワードの変更
それぞれワードプレス管理画面から行います。
ワードプレス管理画面のユーザーページから「ニックネーム」の設定、「ブログ上の表示名の選択」「パスワードの生成」
この3つは最初の段階で最低限行っておきたいものとなります。
ただ、まだ完璧ではありません。10%くらいはセキュリティアップしたかなといったところです。
Categorised in: ゴリラウェブ・ナレッジ