第3回 【WordPress】 WordPressのユーザーを変更する セキュリティ対策

WordPress GCP

1. 第3回 【WordPress】 WordPressのユーザーを変更する セキュリティ対策

環境:Debian 9 php 7.0 Apache 2.4.25 MySQL 5.7 Cocoon

WordPress

WordPressを作成した直後は、ユーザーが「admin」になっています。

ログインURLは、
「例、http://IPアドレス/wp-admin/」
「例、http://IPアドレス/wp-login.php/」

ということは、

  • 「ログインURL」
  • 「ユーザー名」
  • 「パスワード」

この3つが揃っていればログインできてしまう訳ですので、「攻撃をしてください」といっているのと同じ状態です。

WordPressを作成した時に「ランダムに指定できればいいのにと思うのですが、現実として、そういうことにはなっていないので、変更をします。

注意点 「Apache 2.2」あるいは「Apache 2.4」

「Apache」を使用している人のあるあるですが、権限設定の変更をしないと、「プラグインや「.htaccessファイル」など他にもありますが正常に動作しない可能性が多々あります。

そこで、ここでは「ユーザー変更」のみを行います。「各種ログインURL変更」は権限設定をしたあとに、別途行います。

この注意点、何気にものすごく重要でハマる人が続出します。私ももれなくその一人であったことに間違いありません。

ではユーザー変更していきます。

厳密には「admin」を削除します。

手順の流れ
  • admin
    ログイン

  • 新規ユーザー
    管理者権限で新規ユーザーを追加

  • admin
    ログアウト

  • 新規ユーザー
    ログイン

  • admin
    削除

1.1 こんにちは、admin さん

WordPressの管理画面ログイン後、右上に「こんにちは、admin さん」と表示がされています。

さわやかにナメた口聞きやがって。小鳥のさえずりさえ聞こえてきそうな日曜日の朝みたいだな。

1.2 ユーザー一覧へ

「左側メニュー一覧」「ユーザー」「ユーザー一覧」の順番にクリックして次へ進みます。

1.3 ユーザー一覧画面 追加前

「admin」さんが一人いるのが確認できます。上部の「新規追加」をクリックして次へ進みます。

1.4 ユーザー一覧画面 追加後

新規追加をクリックすると、入力項目が出てきますので、

  • ユーザー名
  • メールアドレス
  • パスワード
  • 管理者

この4項目を記載して「新規ユーザーを追加」ボタンを押すと、ユーザー一覧に一人追加されます。

1.5 admin さんログアウト

マウスを「こんにちは、admin さん」に持っていくと「ログアウト」の表示が出てきます。「ログアウト」して次へ進みます。

1.6 WordPressログイン画面

WordPressからログアウトすると、下記画面が表示されます。

先程追加した「新規ユーザー」でログインをします。

1.7 adminを削除

「メニュー」「ユーザー」「ユーザー一覧」の順番にクリックします。

adminに✔を入れ削除リンクをクリックします。

1.8 コンテンツの継承

「すべてのコンテンツを医科のユーザーのものにする」を選択して「削除を実行」ボタンを押します。

1.9 メールアドレスの注意点

新規ユーザーは同一のメールアドレスでは作成できません。

最初の「admin」のメールアドレスを利用したい場合は、繰り返し同じ作業を行います。

最初のメールアドレスに戻したい場合、

  1. 「admin」のメールアドレス①
  2. 「新規ユーザー」のメールアドレス②
  3. 「再度新規ユーザー」を登録する時に、「admin」のメールアドレス①に戻す

ということが可能です。


次は、第4回です。


【コメント】 ※「メールアドレス不要」