WordPressで特別な措置をしていない場合は「ユーザーID」と「パスワード」がサイトの裏側を守るための薄い壁になりますから、例えばユーザー名がばれてしまったら・・・もう壁は突破されたも同然ということになりますから、これから挙げるユーザー名と番外編として掲載している(危険になるWordPressの基本設定)については最低限対応したいところです。
なお、このデータは私自身がサイトを作成する上でログイン履歴を管理する
というプラグインを使い、実際のログイン失敗ログとして数多くあるものを紹介していますから、想像の情報ではありません。あなたのサイトへどんなユーザー名でアクセスしようとしたかを特定する手段としてもおすすめします。
中にはそんなに危機に感じても仕方ないのでは??と思う方がいるかもしれませんが、一旦管理者としてログインされてしまえば
- サイト内の投稿や固定ページのデータそのものや画像などがそっくりそのまま奪われてしまう
- テーマなどへ悪質なコードを挿入して、例えば悪意のあるサイトへリダイレクトされる踏み台のようなサイトにされてしまう
- サイトを見た人がウイルスやマルウェアに感染するようにされてしまう
- アドセンスなどの広告に対するユーザーIDを書き換えられ、収益がすべて他人のものになってしまう
などといった改変が行われる可能性があります。そして何よりしばらく経たないとこの異変に気づかなかったり、気づいてもどう修正していいかわからないということにもなり兼ねませんから、転ばぬ先の杖として対策をおすすめします。
逆に前書きが長くなってしまいますが、ログイン用のURLを変更するなど複雑な動作をするプラグインの使用は個人的におすすめしません。なぜかというと、そのプラグインに不具合があった場合やサイトに不具合が出た場合、誤った設定をした場合に自分自身も拒否される対象になってしまう可能性があるからです。もし使われるなら、どこをどう戻したらそのプラグインを使う前の状態に戻せるかをあらかじめ調べておき、できればテスト用サイトなどで確実に元に戻せるかを確認してから使用した方がいいと思います。
それでは紹介していきます。皆さんのサイトのセキュリティ向上に役立てば幸いです
危険なユーザー名その1 「admin」
これについてはよくよく知られています。まだ知らないという方はすぐに別のユーザーIDを作ってからこの「admin」というユーザーを削除してください。
WordPressをインストールするときに例として表示されるのがこの「admin」という管理者を意味する英単語「administrator」の先頭文字。インストールでこの項目を設定しなくてエラーになってしまうのを避けるための措置だと思いますが、初めてインストールするときには「何これ??」でそのままにしてしまうことが多く、それでログインできるからそのままという方も以前はたくさんいました。
「admin」を削除するには同じ「管理者権限」のユーザーを追加する必要があります。管理者権限を持つユーザーが誤っていなくなってしまうのでは?と思われる方がいるかもしれませんが、管理ユーザーが「admin」だけであれば、誰もユーザーの削除ができないようになっていますから、削除できなければ新しく追加したユーザーの権限設定が間違っていると容易に確認することができます。
危険なユーザー名 その2 「サイトドメイン名」
特にレンタルサーバーで自動インストールするときに使われるユーザーIDで多いのがこの「ドメイン名」です。
「http://〇〇.co.jp」の〇〇の部分です。これも前項と同様なるべくインストールエラーを起こさないようにするために設定されるものですから、自動インストールしたら別の管理ユーザーを登録して、このユーザーIDは削除した方がいいと思います。
危険なユーザーID その3 「test test〇〇」
これはあまり気付かないような気がします。ユーザー同士で何かのやりとりをする、ユーザー権限で何が違うのかなどテストを行いたいときに安易に「test」というユーザー名で登録してませんか??おそらくそうしたケースでは管理者権限(すべての操作ができる権限)で登録することはないと思いますが、その下の編集者権限でもいろいろなことができますから注意が必要ですね。
私が知る限りでは「test」という単純なものもあれば「test」と「ドメイン名」を足したもの、その逆、間に「-」や「_」を入れたものなどいろいろと形跡がありました。
おまけ1 ユーザーID
これはユーザーIDでログインできるようにカスタマイズしているときにだけ危険になるものですが、WordPressではユーザーを作成したときには永久欠番となるユーザーIDという番号が振られます。これをわざわざユーザー名にしている方もいないでしょうし、ユーザーIDでログインできるようにしている方もレアなケースだと思いますので、一度テストとしてユーザーIDとパスワードでログインできてしまうかどうかを確認してみてくださいね。
おまけ2 危険になるWordPressの基本機能
これはIDそのものではありません。WordPressのテーマで自然に生成されるものがユーザー名を暴露することになっていまう例です。
WordPressのいいところはブログのように自動でアーカイブページができ、アーカイブページが内部リンクとなるのでSEOに有利であるといわれているところ。SEOに対する影響だけでなく、カテゴリー名やタグ名、作者名をクリックすればサイト制作者が何もしなくてもこれらの一覧が自動で作られるという便利なところです。
通常のHTMLサイトでは内部リンクは手動できちんと内部リンクを張らないとサイト内でのつながりができないためこれを管理するのも大変な作業なのですが、WordPressでは勝手にアーカイブ一覧というのを作成してくれます。
これは本当に便利な機能なのですが、実際にそのアーカイブの中にある「ユーザーが書いた記事のアーカイブ」を表示したことありますか??テーマによってはページの一番下に作者の名前でリンクがあり、クリックすると表示される一覧です。
それを表示したら、一番上のURLを見てみてください・・・・びっくりしましたか??URLの末尾がなんとユーザー名になってしまっているのです。中にはユーザーIDが表示されるテーマもありますが、ここの部分はどんなテーマでも基本となるテーマのコピーなので大抵ユーザー名になっているはずです。
実際にこれをヒントにしてログイン試行して失敗したケースがたくさんありました。バレてますバレてます!!
そこで、何かいい方法がないかと探したところ、
というプラグイン。「ユーザーが書いた記事のアーカイブ」で表示されるURLをユーザー名以外のものに設定できるプラグインで、自動的に生成することもできますが、ここは確実に手動で適当な(というかユーザー名とはまったく関係ない)ものに書き換えるよう設定しましょう。
ちなみに当サイトでもこのプラグインを使っていて、この記事下の作者リンクをクリックして表示されるアーカイブのURL末尾をユーザー名だと思ってログインに失敗した日本人が何人もいます。
ログインしていったい何をしたいのか??を聞いてみたいところですがなかなか機会がない(笑)ので何とも言えません。
また、私は甘いのでやっていませんが、2ファクターログインをする、メール認証ログインをする、普段は自身の投稿のみ編集などができる「投稿者」権限でユーザーを作って記事を書くようにする・・・などという対策をすればより確実になるのではないかと思います。ただし、やればやるほど面倒にはなっていくので、どこで良しとするかは個人個人違いますね。
とにかく冒頭に書いたように、一度管理画面へ、しかも管理者権限でアクセスされれば大変なことになる可能性がありますからみなさん気を付けましょう。
おまけ 試し打ちされたパスワード
「Crazy Bone」プラグインのすごいところは、どんなユーザー名に・・・だけでなくどんなパスワードでログインしようとしたかが分かること。その中の1例を紹介しておきます。
不正に入力されたパスワード
reindeer
qwqwqw
bbbb
alyson
555555
1111111111
simon
pass1234
admin1
aaaaaaaa
123654
zxcvbnm
hacker
1234qwer
semperfi
jimjim
goten
admin12
11111111
赤字で表示しているのは隣り合うキーボードのキーを順に打ったもの。昔何かのテレビで見ましたけど10桁だったら「qwertasdfg」というのは危険って本当っぽいんですね。
このようなパスワード使われている方、気を付けてくださいね。