最近、WordPressの不正ログイン被害が多く発生しているそうです。

WordPressは何も考えずインストールすると、管理ユーザー名は「admin」となってしまいます。
今回の不正ログインでは管理ユーザー名の「admin」に対して、さまざまなパスワードにて
ログインを試みる、いわゆるブルートフォースアタックと呼ばれるものです。

簡単なパスワードにしていると高確率でログインされてしまい「フィッシングサイト」に利用されたり「情報漏えい」したりとんでもないことになってしまいます。

そんな事になる前に対策を行っておきましょう

管理画面へのログインをIP制限

・特定のIPアドレスからしか編集を行わない
・サーバーが.htaccessを使用できる
上記の場合はそもそも管理画面にログインできるIPを制限してしまったら安心です。

.htaccess
[code]
<Files “wp-login.php“>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>
[/code]

上記のように記述した.htaccessをwp-login.phpと同階層に置けば特定のIP以外からのログイン画面への接続を制限する事が出来ます。

インストール時に作るIDをadminではなく別のものに

最新のwordpressではインストール時に作成するIDを任意に決定できます。
こちらでadmin以外のユーザー名を指定して下さい。

すでにインストールされたWordPressのIDを変更する

すでにadminユーザーとしてインストールされたWordPressの場合はすこし手間がかかります。
手順としては以下の通り

1.adminユーザーで別のIDの管理ユーザーを作成

ユーザー > 新規作成 で新規のユーザーを作成します。
権限を管理者にするのを忘れずに

2.adminユーザーをログアウトして新規のユーザーでログインします

するとadminユーザーが削除できるようになってますので削除。

マルチサイトWordPressのIDを変更する

すでにadminユーザーとしてインストールされたマルチサイト用のWordPressの場合はさらに手間がかかります。
手順としては以下の通り

1.サイトネットワークの新規ユーザー作成

参加サイト > サイトネットワーク管理者 > ユーザー > 新規追加 にて新規ユーザーを追加します。

2.作った新規ユーザーに「特権管理者権限」を与える

参加サイト > サイトネットワーク管理者 > ユーザー > 一覧 にて作成した新規ユーザを編集し、
「このユーザーにネットワーク特権管理者権限を与える」にチェックを入れて更新します。

3.各サイトにサイトネットワーク管理者のユーザーを追加する

各サイトのユーザー > 新規作成 で新規のユーザーを作成します。
マルチサイトの場合は既存のユーザーをメールアドレスから追加します。
この作業を全サイトぶん繰り返します。

4.adminユーザーの権限を削除する

adminユーザーをログアウトし、新規作成したユーザーでログインします。
新規作成したユーザーでadminユーザーの権限を削除します。
各サイトのユーザー > adminユーザーの編集を行い、権限を「このサイトでの権限なし」に変更します。
この作業を全サイトぶん繰り返します。

この作業が完了するとネットワーク管理者一覧でのadminユーザーの「サイト」に何も表示がなくなります。

この状態を確認したらadminユーザーの管理者権限をはずし

後はサイトネットワーク管理者からadminを削除して完了です。