概要
WordPressのアカウントをいまだにadminで運用されているサイトを見かけるのですが、非常に危険なのでその危険性についてまとめます。
WordPressは狙われやすい?
WordPressは導入が簡単でプラグインがたくさんあり、日本語の情報も簡単にみつかるので様々なサイトを構築しやすいため、多くのサイトで利用されています。
便利なWordPressですが、悪意のある第三者は攻撃対象が多いOSやCMSなどは標的にするので、WordPressもセキュリティーホールを狙われる危険性が非常に高いです。
adminのままだと何が危険なのか
バージョンアップは当然定期的に行わないといけませんが、それだけではなく、ログインアカウントやパスワードの管理も重要になってきます。
今回はadminアカウントについて焦点を当てます。
WordPressのデフォルトアカウントはadminなので、adminアカウントに対しよく使われるパスワードや簡単な組み合わせなどを手当たり次第ログイン処理を実行されるというブルートフォースアタックという攻撃を受けた場合、adminアカウントのままだとログインIDは特定されてしまい、パスワードだけ当たればログインされてしまいます。
コンピューターの性能は年々向上しているので、パスワードだけだと解析されてしまう可能性が高くなってしまいます。
最低限このことを防ぐためにログインIDは必ずadmin以外に変更する必要があります。
最後に
WordPressは簡単に利用できるので、多くのサイトで導入されていますが、危険な状態で放置されているサイトもたくさん見受けられます。
制作を依頼する側も最低限の知識を持ってサイト制作を依頼るすることでかなり危険や無駄なコストを減らすことができます。
少なくともWordPressの導入を依頼して、ログインアカウントがadminで提供された場合、制作者のスキルを疑うことを考えてください。
