WordPressのユーザ名を後から変更する方法。adminの使用は危険。
2014/12/07
デフォルトのユーザ名「admin」を変更しよう
ユーザ名「admin」をそのまま使うことのリスク
WordPressのデフォルトのユーザ名は adminで設定されており、これをそのまま利用していると非常にリスクが高まります。
具体的には、WordPressの管理画面の URLは決まっているため、その管理画面に対して総当たり攻撃と呼ばれるブルートフォースアタックをすることが容易だからですが、攻撃を仕掛ける際に、すでに IDが分かっている状態で始められるのはさらに攻撃のハードルを下げることになるわけです。
また、adminを使わなかったとしても、ユーザの設定がデフォルトのままでは、下記の画面の様にログインIDが記事のところに表示されます。
表示される場所はテーマによって少しずつ違いますが、このままでは「IDはこれです。」「攻撃を仕掛けてみてください。」と言わんばかりの状況です。
そのため、最低限「ニックネーム」を IDとは違うものに設定し、それを表示するように設定すべきです。
ニックネームの設定方法
「ユーザ」-「ユーザ一覧」から登録されているユーザを選択し、「プロフィール」の入力画面を表示させます。
そこで、「ニックネーム(必須)」に公開側に表示させるニックネームを編集し、その下にある「ブログ上の表示名」の項目を入力した「ニックネーム(必須)」の項目に変更し、「プロフィールを更新」を押して保存します。
これでニックネームに変更されます。
※テンプレートを編集し、そもそも「作成者」を表示させないようにすることも一つの方法ですが、今回は割愛します。
管理者のユーザを adminから変える
この記事を読んでから新しく WordPressを構築する場合は、最初から「admin」ユーザを作成しなければいいのですが、すでに adminユーザで運用している場合は、ユーザ名は直接変更できないためにひと手間必要になります。
(プラグインで変更することも可能ですが、プラグインを使わなくても対応が可能です。)
管理者のユーザを adminから違うものに変える手順は、下記の 4ステップです。
- 新しい管理者ユーザを作成する
- 新しいユーザのニックネームを追加する
- 新しいユーザでログインし直す
- adminを削除し、新しい管理者ユーザに記事をアサインする
1.新しいユーザを作成する
「ユーザ」-「新規追加」から新しいユーザを登録してください。
2.新しいユーザのニックネームを追加する
「ニックネーム」「ブログ上の表示名」の設定は、1.の新しいユーザの作成の際に設定できればいいのですが、更新でしか設定できませんので、一旦1.ではユーザの作成だけを行い、改めて一覧から変更対応を行います。
その際、上記の「ニックネームの設定方法」で書きました「ニックネーム」「ブログ上の表示名」を設定してください。
また、権限グループは、「admin」と同じ「管理者」を選択してください。
3.新しいユーザでログインし直す
adminでログインしていると思いますので、いったんログアウトし、新しく作成したユーザでログインします。
4.adminを削除し、新しい管理者ユーザに記事をアサインする
「ユーザ」-「ユーザ一覧」の一覧画面で「admin」ユーザの「削除」をクリックします。
すると、下記の様に投稿されている情報をどうするか、確認されます。
ここで「すべての投稿を以下のユーザーにアサイン」と新しく登録したユーザを選択し、「削除を実行」を押します。
これで新しいユーザに投稿を引き継ぐことができました。
※投稿ページだけではなく、固定ページのユーザもすべて引き継がれます。
また、ログイン画面の URLを変更する方法については、下記に書いていますので合わせて参考にしていただければ、と思います。
「WordPressのログイン画面 URLを変更する 管理画面に Basic認証を設定する」
2014.08.04 追記
上記の記事ですが、記事中の参考サイトがなくなっていることもあり、改めて記事を書き直しましたので、下記の記事を代わりに参考にしてください。
WordPressの管理画面ログインURLの変更方法解説
WordPressの管理画面ログインURLファイルにBasic認証を設定する方法解説
Basic認証をファイル単位・URL単位で設定する方法の解説
Edit Author Slugを使ってさらなる強化を
2014.01.24 追記
この記事にある管理者の IDを変えただけではセキュリティの対策として不足していることが判明しました。
下記の記事も併せてご覧ください。
「WordPressの不正ログインを Edit Author Slugで回避」
2014.07.05 追記
ログインに絡むセキュリティ向上にはもう一つ、ログインIDに公開されない情報、メールアドレスを使ってログインをするという方法もあります。
それを実装することが出来るプラグインが「Force email login」です。
下記に記事を書いていますので、あわせてご覧ください。
「WordPressの不正ログインを Force email loginで回避」
GoogleAdwords
GoogleAdwords
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!
関連記事
-
プラグインが原因で起動しないWordPressを復旧させる方法解説
プラグインが原因で WordPressが起動できなくなった、ログインできなくなった場合の対処方法の解説です。
-
WordPressのログイン画面 URLを変更する 管理画面に Basic認証を設定する
ログインURLは誰でも知っています。そのまま使うとリスクが高まりますのでログインURLを変更し Basic認証で二重チェックをする方法を解説。
-
ロリポップでWordPress+Basic認証で不具合発生!回避方法解説
ロリポップサーバでWordPressを使いBasic認証を設定する際には注意しないとWordPressが動かなくなる場合も!その回避方法を解説します。
-
テキストエディタ秀丸で正規表現による置換の方法の解説
秀丸で正規表現による置換を行うポイントを紹介。置換をしながら特定のキーワードは置換せずに置換結果に残す方法を実例を上げながら解説しています。
-
FC2からWordPressに引越しの際のデータ加工方法の解説
FC2からWordPressに引越しの際にデータを加工する必要がありますが、その加工方法の詳細を解説。秀丸の正規表現による置換を使い作業時間も軽減する方法や加工のポイントも解説。
-
WordPressの 外観のテーマのための関数の並び順
WordPressのカスタマイズの際にテーマのテンプレートを編集しますが、そのテーマファイルの並び順の解説です。
-
WordPressの送信メールが協定世界時(UTC・グリニッジ標準時)の問題対応
WordPressから送信されてくるメールが9時間ずれている。その不具合の解消方法と根本原因の解説です。date_default_timezone_set();の設定を変更で対応できます。
-
WordPress csvインポート、エクスポートのプラグイン
WordPressから csvファイルをエクスポート、インポートする方法を紹介しています。
-
Better Delete Revisionを使って WordPressのリビジョンを削除する方法
自動的に溜まるリビジョンは Better Delete Revisionを使うことで簡単に削除することが出来ます。表示の重さを軽減したり、バックアップファイルのスリム化に貢献します。
-
Smart Update PingerでWordPressのPing・更新情報サービスを拡張する
WordPressの Ping機能、更新情報サービスのプラグイン Smart Update Pingerの使い方と問題点。