ワザ98
乗っ取りの被害に遭いにくいアカウントを設定しよう
管理者のユーザー名に「admin」はダメ
ワザ87でも解説したように、WordPressを使ったサイトが攻撃され、管理アカウントが乗っ取られてサイトを改ざんされる被害が、しばしば起きています。
攻撃の代表的な手法は「ブルートフォースアタック」(総当たり攻撃)と呼ばれるもので、手当たり次第に適当なパスワードを入力してログインを試みるものです。よくあるユーザー名や簡単なパスワードを設定していると、ブルートフォースアタックに非常に弱くなってしまいます。
WordPressのユーザー名に「admin」という文字列を使うことは避けましょう。古いバージョンのWordPressでは自動的に「admin」アカウントが設定されるようになっていたため、攻撃者は最初に「admin」や「admin」を含むユーザー名を狙います。作成したアカウントのユーザー名は変更できないため、すでに「admin」を含むユーザー名を使っていた場合は、ワザ94を参考に管理者権限を持つ別のアカウントを作り、現在のアカウントは削除しましょう。
パスワードはインジケーターを目安にして設定する
パスワードは、辞書に載っている単語や、誕生日や年号など類推されやすいものを避けて、できるだけ長く、英字の大文字と小文字、数字、記号を混在させたものにします。WordPressでパスワードを設定するときには強度のインジゲーターが表示されるので、強度を確認する目安にしましょう。
Tipsパスワードの管理・生成 に便利な「1Password」256 第
WordPressだけでなく、さまざまなパスワードを一元管理するために、Mac、Windowsに対応したアプリ「1Password」が便利です。強力なパスワードを生成し、サイトごとに保存して自動入力ができます。つまり、1Passwordのパスワードさえ覚えていれば、利用するすべてのサイト、サービスで、強力な、使い回しでないパスワードを利用可能になります。有料で、Windows/Mac用アプリは49.99ドルですが、割安なセットのライセンスや、期間限定の値下げも行われます。詳しくはサイトで確認してください。iPhone/iPad、Androidアプリも提供されています。
アカウントのパスワードを変更するには
1[ユーザー]画面を表示する
![[ユーザー]画面を表示する](https://dekiru.net/contents/354/img/3549801.png)
2ユーザープロフィールを表示する
3新しいパスワードを入力する
4パスワードの変更が完了した
関連サイト
WordPressの解説記事まとめ(WordPress 4.x対応)
