1. 第3回 【WordPress】 WordPressのユーザーを変更する セキュリティ対策
環境:Debian 9 php 7.0 Apache 2.4.25 MySQL 5.7 Cocoon
WordPress
WordPressを作成した直後は、ユーザーが「admin」になっています。
ログインURLは、
「例、http://IPアドレス/wp-admin/」
「例、http://IPアドレス/wp-login.php/」
ということは、
- 「ログインURL」
- 「ユーザー名」
- 「パスワード」
この3つが揃っていればログインできてしまう訳ですので、「攻撃をしてください」といっているのと同じ状態です。
WordPressを作成した時に「ランダムに指定できればいいのにと思うのですが、現実として、そういうことにはなっていないので、変更をします。
注意点 「Apache 2.2」あるいは「Apache 2.4」
「Apache」を使用している人のあるあるですが、権限設定の変更をしないと、「プラグインや「.htaccessファイル」など他にもありますが正常に動作しない可能性が多々あります。
そこで、ここでは「ユーザー変更」のみを行います。「各種ログインURL変更」は権限設定をしたあとに、別途行います。
この注意点、何気にものすごく重要でハマる人が続出します。私ももれなくその一人であったことに間違いありません。
ではユーザー変更していきます。
厳密には「admin」を削除します。
- adminログイン
- 新規ユーザー管理者権限で新規ユーザーを追加
- adminログアウト
- 新規ユーザーログイン
- admin削除
1.1 こんにちは、admin さん
WordPressの管理画面ログイン後、右上に「こんにちは、admin さん」と表示がされています。
さわやかにナメた口聞きやがって。小鳥のさえずりさえ聞こえてきそうな日曜日の朝みたいだな。
1.2 ユーザー一覧へ
「左側メニュー一覧」「ユーザー」「ユーザー一覧」の順番にクリックして次へ進みます。
1.3 ユーザー一覧画面 追加前
「admin」さんが一人いるのが確認できます。上部の「新規追加」をクリックして次へ進みます。
1.4 ユーザー一覧画面 追加後
新規追加をクリックすると、入力項目が出てきますので、
- ユーザー名
- メールアドレス
- パスワード
- 管理者
この4項目を記載して「新規ユーザーを追加」ボタンを押すと、ユーザー一覧に一人追加されます。
1.5 admin さんログアウト
マウスを「こんにちは、admin さん」に持っていくと「ログアウト」の表示が出てきます。「ログアウト」して次へ進みます。
1.6 WordPressログイン画面
WordPressからログアウトすると、下記画面が表示されます。
先程追加した「新規ユーザー」でログインをします。
1.7 adminを削除
「メニュー」「ユーザー」「ユーザー一覧」の順番にクリックします。
adminに✔を入れ削除リンクをクリックします。
1.8 コンテンツの継承
「すべてのコンテンツを医科のユーザーのものにする」を選択して「削除を実行」ボタンを押します。
1.9 メールアドレスの注意点
新規ユーザーは同一のメールアドレスでは作成できません。
最初の「admin」のメールアドレスを利用したい場合は、繰り返し同じ作業を行います。
最初のメールアドレスに戻したい場合、
- 「admin」のメールアドレス①
- 「新規ユーザー」のメールアドレス②
- 「再度新規ユーザー」を登録する時に、「admin」のメールアドレス①に戻す
ということが可能です。
【コメント】 ※「メールアドレス不要」