【セキュリティ対策】ユーザー名(author)を特定されないようにする方法

WordPressのサイトを運営されている方であれば分かると思いますが、管理画面にログインするためには「ユーザー名(author)」と「パスワード」が必要です。

このユーザー名は、サイトを乗っ取られるリスクを避けるため、できればあまり知られないほうが良いのですが、対策をしっかりしていないサイトは、ユーザー名がバレてしまい、ブルートフォースアタック(総当たり攻撃)を受けると、サイトを乗っ取られてしまいます。これってすごく危険です。

今回はWordPressのサイトのユーザー名を特定方法と、その対策を紹介します。

ユーザー名を特定されないように対策しているサイトは少ない

satoh1

ある会社の部長さんからあった本当の話です。(名称などは仮名を使っています。)

佐藤部長
藤本さん、こんにちは。○○株式会社の佐藤です。先日はご挨拶させていただきありがとうございました。
実はちょっと相談があるんですが、お時間もらえませんか?
藤本陽介
あっ、先日のあのイベントでご挨拶させていただいた佐藤部長ですね。あの時はどうもありがとうございました。
何かあったんですか?
佐藤部長
ウチのサイトの運営担当者の路川っていうのが、実は突然辞めてしまい困っているんですよ。。。
藤本陽介
突然の退職とは。。。それは残念ですね。困っているというのはどんなことでしょうか?
佐藤部長
突然の退職で、しかも彼と連絡がつかなくて、引き継ぎもしていないから、会社のホームページが更新できないんですよ。

ウチのホームページはWordPressっていうのを使っていて、自社内でコンテンツを管理しているんだけど。

藤本陽介
それは大変ですね。
もしかして、困っているというのはそのサイトに関することですか?
佐藤部長
あう…。 そうなんだけど…。
藤本陽介
マジかぁ。どうやって断ろうかなぁー。

ちょっとの沈黙

佐藤部長
実は、経理担当の緑川が、WordPressならなんとか運営できるって言っているから、任せようと思うんだけど、緑川がログインするためのユーザー名とパスワードが分からないからどうしようもないって言っているんですよ。
緑川さん
はじめまして、藤本さん。そうなんですよ!管理画面にログインできなきゃ、何もできないですよね。

わたしは管理画面上で、投稿ページや固定ページでHTMLで編集できるぐらいで、そんなにWordPressについて詳しくないんですよ。

佐藤部長
WordPressで書籍を執筆したり、セミナーをしている藤本さんなら、こんなことも分かるんじゃないかと思って。
藤本陽介
だからといって、なんでも聞けば良いってもんじゃないんだけどなぁー。
藤本陽介
佐藤部長、さすがにわたしは魔法使いではないですよー。じゃ、すぐ分かりそうだったら、サポートしますけど、複雑そうだったら制作会社を紹介するので、そっちに相談してくださいね。
藤本陽介
1分だけ時間ください。御社のサイトは、○×△○×△○×△.net でしたよね?
藤本陽介
あの方法で特定できちゃったら、すぐ終わるから、ちょっとサポートしてあげよう。
PC
藤本陽介
あっ、佐藤部長、分かっちゃいました。御社のコーポレートサイトのユーザー名は、「admin」ですね。
satoh2
佐藤部長
おお!さすが藤本さん!ユーザー名が分かっちゃったんですね!パスワードもわかりますか?
藤本陽介
いや、パスワードはそんな簡単に分からないです。
藤本陽介
そしたら緑川さん、御社サイトの管理画面のログイン画面を表示できますか?
○×△○×△○×△.net/wp-admin
です。
緑川さん
はい!表示できました。
login1
藤本陽介
下の方に、「パスワードをお忘れですか?」と表示されていると思うんですが、そこをクリックすると、違う画面になって、さきほどお伝えしたユーザー名を入力して、「新しいパスワードを取得」をクリックすると、メールが届くと思います。
緑川さん
はい。わかりました。ちょっとやってみます。
login2
藤本陽介
メールが届いたら、メールの指示どおりにパスワードをリセットして、新しいパスワードを設定してくださいね。
緑川さん
あっ、
info@○×△○×△○×△.net
にメールが届きました。パスワードリセットできました。
藤本陽介
良かったですね。
佐藤部長
いやー、助かりましたよ!これでコーポレートサイトの更新ができます。
藤本さん、本当にありがとうございました。

ユーザー名の特定方法

佐藤部長
ところで藤本さん、なんでユーザー名が分かったんですか?
この短時間でウチの会社のコーポレートサイトをハッキングとかしたんですか?
藤本陽介
そんなわけないでしょ。笑
藤本陽介
WordPress全部のサイトではないんですが、ユーザー名が分かる方法が幾つかあるんですよ。そのうちのひとつをやってみただけです。
セキュリティ対策していないサイトはほとんど分かっちゃうんですよ。
佐藤部長
つまりウチのコーポレートサイトはセキュリティ対策がされていないってことなんだな。
佐藤部長
藤本さん、これはセキュリティ対策がまったくできていないということなんですね。それはマズイです。

今回いろいろ助けていただきましたし、そのセキュリティ対策を最低レベルは実施したいので、(非公表)円くらいでちょっと仕事としてやっていただけませんか?

藤本陽介
お金をもらうほどじゃないけど、せっかくだからしっかり教えてあげよう。
そしてもっとサイトのセキュリティに対する意識をあげてもらおう。
藤本陽介
わかりました。じゃ、わたしがユーザー名を特定した方法と、それをブロックする方法をお伝えしますね。
藤本陽介
緑川さん、御社のサイトの後ろに「 /?author=1 」 と入力してもらい、エンターキーをおしてもらえますか?
author1
緑川さん
はい。わかりました。ちょっとやってみます。
midorikawa1
緑川さん
あっ、こういう風にユーザー名が表示されるんですね!
author2

 

藤本陽介
authorの後ろに「admin」っていうのが表示されたのがわかりますか?
佐藤部長
こういうことだったのかぁ。
藤本陽介
さきほどは、御社のサイトの後ろに「 /?author=1 」 と入力してもらい、エンターキーをおしてもらいましたが、

今度は「 /?author=2 」 と入力してエンターキーをおしてもらえますか?」

midorikawa1
緑川さん
あっ、「michikawa」って表示されました!
藤本陽介
そう、このサイトのユーザー名は1つじゃなかったんですね。こうやって数字を変えて入力していけば、そのサイトのユーザー名とユーザー数(author数)が推測できるんですよ。
藤本陽介
でも、これってセキュリティ的にはあまり良くない状況なんですよ。
緑川さん
なんでですか?
藤本陽介
ブルートフォースアタックって聞いたことがありますか?これはWordPressのサイトに限ったことではないのですが、パスワードを破られる方法の代表的な攻撃方法で、とにかくパスワードが破られるまで、考えられるパスワード候補の文字列を繰り返し入力する方法です。
緑川さん
あっ聞いたことあります。ブルートフォースアタック。。。
藤本陽介
WordPressに限ったことではないですが、ユーザー名が分かるとパスワードを破られる可能性が高くなるので、セキュリティ対策としては、

①ユーザー名が外部流出しないようにする
②パスワードを複雑なものに設定する
③指定IP以外は管理画面へのアクセスを遮断するなど、その他多々。

といったように、対策はいろいろありますけど、
①と②はやっておきましょう。

佐藤部長
そうなんですね。藤本さん、ユーザー名をこうやって外部流出させない方法を教えてくださいよ。
藤本陽介
いろいろな方法があります。
さきほど「 /?author=1 」 と入力したら、ユーザー名が表示されましたが、それを回避する方法を教えますね。

ユーザー名の特定を回避する方法

藤本陽介
結構簡単なんですけど、以下のソースをコピーペーストして、author.phpというファイ名のphpファイルを作成してください。

緑川さん
ちょっとわたしはやったことがありませんが、やってみます!

 

midorikawa2

ふむふむ。phpファイルを作成するんですね。

藤本陽介
そのファイルが作れたら、FTPを使って、サーバーにアップロードしてください。
アップする場所は、
「wp-content/themes/(使っているテーマ名)」の直下です。

アップしたら先程のように御社のサイトの後ろに「 /?author=1 」 と入力してもらい、エンターキーをおしてもらえますか?

緑川さん
あっ、今度はautorとか表示されなくて、トップページが表示されています。

 

author3

 

藤本陽介
そうなんです。authorを確認しようとすると、強制的にトップページにリダイレクトされるように設定できました。これでユーザー名の特定を回避できました。
佐藤部長
案外あっけないんですね。もっと難しいことなのかと思いました。
藤本陽介
佐藤部長、これだけではセキュリティ対策は万全じゃないですよ。ただの対策のひとつなんです。
藤本陽介
そもそも、WordPressのユーザー名が「admin」ってのは危険です。管理者(Administrator)の略なので、結構使いがちなんですが、狙われてしまうので、ユーザー名はadmin以外にしましょう。
佐藤部長
なるほど。そんなこと意識してなかったな。そもそも「admin」ってユーザー名はダメだな。よし分かりました。ユーザー名は新しく作って、adminは削除しておこう。

 

satoh3

 

藤本陽介
佐藤部長、そのとおりです。まずはそれをしましょう。

パスワードの重要性

藤本陽介
あとパスワードなんですが、御社は「123456」とか「password」とかにしていないですよね?
緑川さん
あっ、マズイ。何で分かったのかな???
この人、超能力とか使っているんじゃないの?怖い…。
藤本陽介
こういう推測されやすいパスワードを使っている人って本当に多いんですよ。

例えばこのサイトに掲載されているようなパスワードとか、会社の電話番号とか、そういう単純なものは絶対に辞めてください。絶対にです。

緑川さん
どういうパスワードが良いか教えてもらえませんか?

 

passwordwp

 

藤本陽介
文字と数字を必ず混ぜたものを使ってください。パスワード生成ツールなんかもネット上にたくさんあるので、それらを使うのも良いです。かなり複雑なものなので。

WordPressならユーザー作成時にパスワードが「強力」と表示されるようなものにして欲しいです。

緑川さん
なるほど!わかりました!推測されにくいパスワードって、このレベルのことなんですね。
確かにコーポレートサイトだから乗っ取られたら大変です。今後はこのような複雑なパスワードにします。
藤本陽介
ぜひそうしてください。セキュリティ対策で一番大切なことかもしれません。よろしくお願いします。
佐藤部長
今回は良いキッカケになりました。藤本さんどうもありがとうございました。また何かあったらぜひ助けてください。

まとめ

いかがでしたか?ちょっと長文になりましたが、WordPressサイトで無料テーマなどを使っている場合は、この特定方法でユーザー名がバレてしまいます。

ユーザー名がバレてしまうことは、そこまでマズイというわけではないのですが、少し知識がある人なら、ユーザー名から推測していろいろな手段を使えば、パスワード認証に成功され、サイトにハッキングされ、情報を抜き出されたり、サイトを乗っ取られるかもしれません。
(※実はサイトをハッキングされても、普通の人は気づかないことの方がほとんどです。ハッキングする人たちは、足跡を残さないように侵入して、顧客情報などを盗むなどしますが、それに気づく方法はあまりありません。仮に侵入してソースコードを書き換えても、Googleサーチコンソールなどのツールで、サイト運営者がパスワードが破られたことに1ヵ月後に気づくぐらいだと思います。)

企業が運営するサイトで個人情報が抜かれたら、企業の存続に関わる事態になりかねません。

もちろん、個人サイトだって侵入されたら気持ち悪いですよね。

しっかり対策してください。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です