WordPressのIDをadmin以外にしてブルートフォースアタック回避

227views／投稿 2013-04-11／更新 2014-03-18

ブルートフォースアタックって知ってますか？手当たりしだいIDとパスワードを試してログインを試みる攻撃を仕掛けてくる事を言います。WordPressはその世界的人気から標的となり機械的な攻撃をされることが多いようで、防御策としてその一例をご案内。

簡単な方法として【IDを変更してしまう】という手があります。adminが通例のように最初出てきますが、インストール時に簡単に変えることが可能です。当サイトもIDはadmin以外ですし、adminというユーザー名も存在しません。

WordPressでは最初のインストール時にデフォルトではadminになっています。これを任意に変更することで、adminという根本のIDを変えることができ、IDが変わっていれば、ID＆パスワードの両方を同時に当てることはほぼ不可能になってきます。

やり方は本当に簡単でインストール時に変えるだけです。adminと出ているところを変えるだけ。IDはインストール後には変更できないので、最初に気をつける必要がありますね。

WordPressのテーマによっては、/author/◯◯とIDがむき出しになるテーマがあります。このように調べればIDは分かってしまう場合もあるので、パスワードは12桁以上の難解なものにするなど強度インジケータの高い文字列にすべきですね。

WordPressは他のCMSと違ってファイル名やインストールディレクトリ文字列を変更したりはしないので、推測され易いというのも問題ですね。