ワザ98

乗っ取りの被害に遭いにくいアカウントを設定しよう

管理者のユーザー名に「admin」はダメ

ワザ87でも解説したように、WordPressを使ったサイトが攻撃され、管理アカウントが乗っ取られてサイトを改ざんされる被害が、しばしば起きています。

攻撃の代表的な手法は「ブルートフォースアタック」(総当たり攻撃)と呼ばれるもので、手当たり次第に適当なパスワードを入力してログインを試みるものです。よくあるユーザー名や簡単なパスワードを設定していると、ブルートフォースアタックに非常に弱くなってしまいます。

WordPressのユーザー名に「admin」という文字列を使うことは避けましょう。古いバージョンのWordPressでは自動的に「admin」アカウントが設定されるようになっていたため、攻撃者は最初に「admin」や「admin」を含むユーザー名を狙います。作成したアカウントのユーザー名は変更できないため、すでに「admin」を含むユーザー名を使っていた場合は、ワザ94を参考に管理者権限を持つ別のアカウントを作り、現在のアカウントは削除しましょう。

パスワードはインジケーターを目安にして設定する

パスワードは、辞書に載っている単語や、誕生日や年号など類推されやすいものを避けて、できるだけ長く、英字の大文字と小文字、数字、記号を混在させたものにします。WordPressでパスワードを設定するときには強度のインジゲーターが表示されるので、強度を確認する目安にしましょう。

Tipsパスワードの管理・生成 に便利な「1Password」256 第

WordPressだけでなく、さまざまなパスワードを一元管理するために、Mac、Windowsに対応したアプリ「1Password」が便利です。強力なパスワードを生成し、サイトごとに保存して自動入力ができます。つまり、1Passwordのパスワードさえ覚えていれば、利用するすべてのサイト、サービスで、強力な、使い回しでないパスワードを利用可能になります。有料で、Windows/Mac用アプリは49.99ドルですが、割安なセットのライセンスや、期間限定の値下げも行われます。詳しくはサイトで確認してください。iPhone/iPad、Androidアプリも提供されています。

アカウントのパスワードを変更するには

1[ユーザー]画面を表示する

[ユーザー]画面を表示する

2ユーザープロフィールを表示する

ユーザープロフィールを表示する

3新しいパスワードを入力する

新しいパスワードを入力する

4パスワードの変更が完了した

パスワードの変更が完了した

関連サイト