「とりあえずadminと適当なパスワードを入れてみるアタッーク!!Σ(゚ロ゚)o゙」
が流行っているという事で…(^-^;
裏を返せば「admin」というユーザーを使わなくなるだけで「この攻撃」の対象外になるという事であります。
とりあえず「この攻撃の対象外になる」という点を考えるとadmin削除というのは手っ取り早くて良い方法です。
では、さっそく削除してみましょうΣ(゚ロ゚)o゙
<手順 – ユーザーの新規追加>
- とりあえずいつものadminユーザーでログイン。
- 管理画面の「ユーザー」から「新規追加」をクリック。
- ユーザー名、メールアドレス、パスワードを入力して、「権限グループ」を「管理者」にして[新規ユーザーを追加]をクリック。
- ユーザーが追加されました。
すでに登録しているメールアドレスは使用出来ないので、adminのメールアドレスを変更しておくか、adminを削除するまで他のメールアドレスを登録しておきましょう。
他人のメールアドレスとか適当なのを入れて且つ「新規ユーザーにこのパスワードをメールで送信する」にチェックが入っていたりすると、セキュリティがどうの言ってるレベルじゃないので注意Σ(゚ロ゚)o゙
「adminじゃなくなったから安全(^-^)o」と安心してしまわず、新しいユーザー名でも、パスワードはせめて「強力」と表示されるものにしましょう。
具体的には、
- 英字大文字、英字小文字、数字、記号のうち、3~4種類の文字を使う。
- 英単語や、意味の通る文書は避け、でたらめな文字列にする。
- 8桁以上。できれば10桁以上にする。
といった感じ。
「a」を「@」に変えるような一定のルールで置き換えるのも流行りましたが、昔ほど安全ではありません。
新しいパスワードは忘れやすい物です。ましてやでたらめな文字列だったらなおさら。
ちゃんと控えておくなりしておきましょう。(もっとも付箋紙に書いて画面に貼ってちゃダメですが…)
いよいよadminの削除です。
事前にユーザー一覧画面から新ユーザーの権限グループがちゃんと「管理者」になっているかも確認しておいた方が良いでしょう。
<手順 – adminユーザーの削除>
- 新しい管理者ユーザーでログインしなおす。
- 「ユーザー」→「ユーザー一覧」から「admin」の行にポインタを持っていき、「削除」をクリック。
- 「すべての投稿を以下のユーザーにアサイン」を選び、新しいユーザーを選んで、[削除を実行]をクリック。
- adminユーザーが削除されました。
という感じ。
投稿者ユーザーを削除すると投稿も一緒に全部削除されてしまうので、投稿を残しておきたい場合には「すべての投稿を以下のユーザーにアサイン:」にチェックを入れておくのを忘れずに。
(投稿が1件も無い場合や、投稿がすべて削除されても良い場合はどちらでも。)
「せかっくのID:1を消すなんてモッタイナイ!Σ(゚ロ゚)o゙」という方は、権限グループを「─このサイトでの権限なし─」とかにしておくといいかも知れません。
この状態のユーザーでログインすると、「権限がありません」となってログインできません。
世界中のWordPressからadminユーザーがどんどんいなくなったら、今度はそのほかのユーザーも狙われるかもしれません。
「普段使うパスワードは覚えられる桁じゃないとダメなんだよぅ!Σ(゚ロ゚)o゙」という方は、管理者ユーザーとは別に、普段使う投稿者ユーザーを作っておくのもお勧めです。
でも、覚えられないランダムな文字の組み合わせの強固なパスワードで、その辺に書いちゃダメで、利用サービス毎に違うものを…って、覚えられなきゃ、管理もしきれないよっ!Σ(゚ロ゚)o゙
trendmicroの「パスワードマネージャー」とか使った方が良さそうな気もするんだけど、「クラウド恐怖症」な自分がいる…(^-^;
(クラウド恐怖症とかいいつつも、スマートフォンはGoogle IDで同期取ってるけどね!)
コメント