WordPressを乗っ取られないための最低最小限かつ少し専門的な対策

WordPressはデフォルトでadminアカウントというのが固定になっているらしい。これはイケてない。これだとadminという文字列を固定して、パスワードだけ自動検索していけばログインできてしまう。

Linux / Unixで言うならSSHでrootログインをpermitした状態と同じことだと考えると、これがどれだけイケてないかはそのあたりの人ならわかる。最低限、ログイン失敗に伴って待ち時間が増えていくとか、5回ぐらい失敗したらアカウントロックしてメール経由でロック解除させるぐらいの機能はあっても良い。(そういうのがあったらごめんね)

WordPressのセキュリティのためには別のアカウントを作ってadminを削除しなくてはいけないそうなのだが、削除ってのもなんかミスったらログインできなくなりそうで、なんとなく怖いというか貧乏性の人はあんまりスパっと消すのは苦手だと思う。

ということなので、参考までにデータベースの方でAdminアカウントのログイン名を変えてしまえ!というSQLを貼っておく。

ロリポップだったら、PHPMyAdminが使えるハズだから、そこのWordPressのデータベースを書き換えたら良い。少し専門的な説明しか書いてないのは、全然、わからない人はこの手を使ってほしくないから、わざと説明してない。

こっちもミスったらミスったでログインできなくなるかもしれないので、必ず、もう一人管理者アカウントを作って、ログインを確認してからやってね。

adminアカウントのログインIDを変える手順

update wp_users set user_login = ‘hogehoge_admin’ where id = 1 and user_login = ‘admin’ limit 1;

これで、ログインIDはhogehoge_adminに変わる。hogehoge_adminのところは変えておくれ。

今度、元のadminに戻す時は、

update wp_users set user_login = ‘admin’ where id = 1 and user_login = ‘hogehoge_admin’ limit 1;

にしておくれ。この戻せるってのが安心感を醸し出す。

なお、limit 1だの、id=1だの、user_login=””と過剰に条件をつけているのは、余計なレコードを消さないためのデータ保護のためでございます。

update文にlimit 1をつけられるMySQLは偉大。

ということで、こういうadminアカウント変更機能を、さくっとペパボとかがつけてあげたらいいんじゃないのかなぁ?!
1クリックwordpressインストールとか機能があれば、どういう名前でインストールしてるか?とかもわかるんでしょ?!

#WordPressのお作法がわかってないので不備があったら是非、教えて下さいませ。

【PR】ご意見、感想などは是非、mstdn.fmのローカルタイムラインでお聞かせください