【セキュリティ対策】ユーザー名(author)を特定されないようにする方法

記事内に広告を含む場合があります

WordPressのサイトを運営されている方であれば分かると思いますが、管理画面にログインするためには「ユーザー名(author)」と「パスワード」が必要です。

このユーザー名は、サイトを乗っ取られるリスクを避けるため、できればあまり知られないほうが良いのですが、対策をしっかりしていないサイトは、ユーザー名がバレてしまい、ブルートフォースアタック(総当たり攻撃)を受けると、サイトを乗っ取られてしまいます。これってすごく危険です。

今回はWordPressのサイトのユーザー名を特定方法と、その対策を紹介します。

ユーザー名を特定されないように対策しているサイトは少ない

satoh1

ある会社の部長さんからあった本当の話です。(名称などは仮名を使っています。)

[speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”] 藤本さん、こんにちは。○○株式会社の佐藤です。先日はご挨拶させていただきありがとうございました。
実はちょっと相談があるんですが、お時間もらえませんか? [/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] あっ、先日のあのイベントでご挨拶させていただいた佐藤部長ですね。あの時はどうもありがとうございました。
何かあったんですか?[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”] ウチのサイトの運営担当者の路川っていうのが、実は突然辞めてしまい困っているんですよ。。。 [/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] 突然の退職とは。。。それは残念ですね。困っているというのはどんなことでしょうか?[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”] 突然の退職で、しかも彼と連絡がつかなくて、引き継ぎもしていないから、会社のホームページが更新できないんですよ。

ウチのホームページはWordPressっていうのを使っていて、自社内でコンテンツを管理しているんだけど。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] それは大変ですね。
もしかして、困っているというのはそのサイトに関することですか?[/speech_bubble] [speech_bubble type=”std” subtype=”L2″ icon=”man4.jpg” name=”佐藤部長”] あう…。 そうなんだけど…。[/speech_bubble] [speech_bubble type=”std” subtype=”R2″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] マジかぁ。どうやって断ろうかなぁー。[/speech_bubble]

ちょっとの沈黙

[speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”] 実は、経理担当の緑川が、WordPressならなんとか運営できるって言っているから、任せようと思うんだけど、緑川がログインするためのユーザー名とパスワードが分からないからどうしようもないって言っているんですよ。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”] はじめまして、藤本さん。そうなんですよ!管理画面にログインできなきゃ、何もできないですよね。

わたしは管理画面上で、投稿ページや固定ページでHTMLで編集できるぐらいで、そんなにWordPressについて詳しくないんですよ。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”]WordPressで書籍を執筆したり、セミナーをしている藤本さんなら、こんなことも分かるんじゃないかと思って。[/speech_bubble] [speech_bubble type=”std” subtype=”R2″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] だからといって、なんでも聞けば良いってもんじゃないんだけどなぁー。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] 佐藤部長、さすがにわたしは魔法使いではないですよー。じゃ、すぐ分かりそうだったら、サポートしますけど、複雑そうだったら制作会社を紹介するので、そっちに相談してくださいね。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] 1分だけ時間ください。御社のサイトは、○×△○×△○×△.net でしたよね?[/speech_bubble] [speech_bubble type=”std” subtype=”R2″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] あの方法で特定できちゃったら、すぐ終わるから、ちょっとサポートしてあげよう。[/speech_bubble]

PC

[speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] あっ、佐藤部長、分かっちゃいました。御社のコーポレートサイトのユーザー名は、「admin」ですね。[/speech_bubble]

satoh2

[speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”]おお!さすが藤本さん!ユーザー名が分かっちゃったんですね!パスワードもわかりますか?[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] いや、パスワードはそんな簡単に分からないです。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] そしたら緑川さん、御社サイトの管理画面のログイン画面を表示できますか?
○×△○×△○×△.net/wp-admin
です。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”] はい!表示できました。[/speech_bubble]

login1

[speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] 下の方に、「パスワードをお忘れですか?」と表示されていると思うんですが、そこをクリックすると、違う画面になって、さきほどお伝えしたユーザー名を入力して、「新しいパスワードを取得」をクリックすると、メールが届くと思います。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”] はい。わかりました。ちょっとやってみます。[/speech_bubble]

login2

[speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] メールが届いたら、メールの指示どおりにパスワードをリセットして、新しいパスワードを設定してくださいね。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”] あっ、
info@○×△○×△○×△.net
にメールが届きました。パスワードリセットできました。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] 良かったですね。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”]いやー、助かりましたよ!これでコーポレートサイトの更新ができます。
藤本さん、本当にありがとうございました。[/speech_bubble]

ユーザー名の特定方法

[speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”]ところで藤本さん、なんでユーザー名が分かったんですか?
この短時間でウチの会社のコーポレートサイトをハッキングとかしたんですか?[/speech_bubble] [speech_bubble type=”std” subtype=”R2″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] そんなわけないでしょ。笑[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] WordPress全部のサイトではないんですが、ユーザー名が分かる方法が幾つかあるんですよ。そのうちのひとつをやってみただけです。
セキュリティ対策していないサイトはほとんど分かっちゃうんですよ。[/speech_bubble] [speech_bubble type=”std” subtype=”L2″ icon=”man4.jpg” name=”佐藤部長”]つまりウチのコーポレートサイトはセキュリティ対策がされていないってことなんだな。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”]藤本さん、これはセキュリティ対策がまったくできていないということなんですね。それはマズイです。

今回いろいろ助けていただきましたし、そのセキュリティ対策を最低レベルは実施したいので、(非公表)円くらいでちょっと仕事としてやっていただけませんか?[/speech_bubble] [speech_bubble type=”std” subtype=”R2″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] お金をもらうほどじゃないけど、せっかくだからしっかり教えてあげよう。
そしてもっとサイトのセキュリティに対する意識をあげてもらおう。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] わかりました。じゃ、わたしがユーザー名を特定した方法と、それをブロックする方法をお伝えしますね。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] 緑川さん、御社のサイトの後ろに「 /?author=1 」 と入力してもらい、エンターキーをおしてもらえますか?[/speech_bubble]

author1

[speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”] はい。わかりました。ちょっとやってみます。[/speech_bubble]

midorikawa1

[speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”] あっ、こういう風にユーザー名が表示されるんですね![/speech_bubble]

author2

 

[speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] authorの後ろに「admin」っていうのが表示されたのがわかりますか?[/speech_bubble] [speech_bubble type=”std” subtype=”L2″ icon=”man4.jpg” name=”佐藤部長”]こういうことだったのかぁ。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] さきほどは、御社のサイトの後ろに「 /?author=1 」 と入力してもらい、エンターキーをおしてもらいましたが、

今度は「 /?author=2 」 と入力してエンターキーをおしてもらえますか?」 [/speech_bubble]

midorikawa1

[speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”] あっ、「michikawa」って表示されました![/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] そう、このサイトのユーザー名は1つじゃなかったんですね。こうやって数字を変えて入力していけば、そのサイトのユーザー名とユーザー数(author数)が推測できるんですよ。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] でも、これってセキュリティ的にはあまり良くない状況なんですよ。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”] なんでですか?[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] ブルートフォースアタックって聞いたことがありますか?これはWordPressのサイトに限ったことではないのですが、パスワードを破られる方法の代表的な攻撃方法で、とにかくパスワードが破られるまで、考えられるパスワード候補の文字列を繰り返し入力する方法です。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”] あっ聞いたことあります。ブルートフォースアタック。。。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] WordPressに限ったことではないですが、ユーザー名が分かるとパスワードを破られる可能性が高くなるので、セキュリティ対策としては、

①ユーザー名が外部流出しないようにする
②パスワードを複雑なものに設定する
③指定IP以外は管理画面へのアクセスを遮断するなど、その他多々。

といったように、対策はいろいろありますけど、
①と②はやっておきましょう。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”]そうなんですね。藤本さん、ユーザー名をこうやって外部流出させない方法を教えてくださいよ。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”] いろいろな方法があります。
さきほど「 /?author=1 」 と入力したら、ユーザー名が表示されましたが、それを回避する方法を教えますね。[/speech_bubble]

ユーザー名の特定を回避する方法

[speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”]結構簡単なんですけど、以下のソースをコピーペーストして、author.phpというファイ名のphpファイルを作成してください。[/speech_bubble]
<?php	wp_redirect(home_url());	exit();
[speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”] ちょっとわたしはやったことがありませんが、やってみます![/speech_bubble]

 

midorikawa2

ふむふむ。phpファイルを作成するんですね。

[speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”]そのファイルが作れたら、FTPを使って、サーバーにアップロードしてください。
アップする場所は、
「wp-content/themes/(使っているテーマ名)」の直下です。

アップしたら先程のように御社のサイトの後ろに「 /?author=1 」 と入力してもらい、エンターキーをおしてもらえますか?[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”] あっ、今度はautorとか表示されなくて、トップページが表示されています。[/speech_bubble]

 

author3

 

[speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”]そうなんです。authorを確認しようとすると、強制的にトップページにリダイレクトされるように設定できました。これでユーザー名の特定を回避できました。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”]案外あっけないんですね。もっと難しいことなのかと思いました。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”]佐藤部長、これだけではセキュリティ対策は万全じゃないですよ。ただの対策のひとつなんです。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”]そもそも、WordPressのユーザー名が「admin」ってのは危険です。管理者(Administrator)の略なので、結構使いがちなんですが、狙われてしまうので、ユーザー名はadmin以外にしましょう。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”]なるほど。そんなこと意識してなかったな。そもそも「admin」ってユーザー名はダメだな。よし分かりました。ユーザー名は新しく作って、adminは削除しておこう。[/speech_bubble]

 

satoh3

 

[speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”]佐藤部長、そのとおりです。まずはそれをしましょう。[/speech_bubble]

パスワードの重要性

[speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”]あとパスワードなんですが、御社は「123456」とか「password」とかにしていないですよね?[/speech_bubble] [speech_bubble type=”std” subtype=”L2″ icon=”reporter2.jpg” name=”緑川さん”] あっ、マズイ。何で分かったのかな???
この人、超能力とか使っているんじゃないの?怖い…。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”]こういう推測されやすいパスワードを使っている人って本当に多いんですよ。

例えばこのサイトに掲載されているようなパスワードとか、会社の電話番号とか、そういう単純なものは絶対に辞めてください。絶対にです。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”]どういうパスワードが良いか教えてもらえませんか?[/speech_bubble]

 

passwordwp

 

[speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”]文字と数字を必ず混ぜたものを使ってください。パスワード生成ツールなんかもネット上にたくさんあるので、それらを使うのも良いです。かなり複雑なものなので。

WordPressならユーザー作成時にパスワードが「強力」と表示されるようなものにして欲しいです。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”reporter2.jpg” name=”緑川さん”]なるほど!わかりました!推測されにくいパスワードって、このレベルのことなんですね。
確かにコーポレートサイトだから乗っ取られたら大変です。今後はこのような複雑なパスワードにします。[/speech_bubble] [speech_bubble type=”drop” subtype=”R1″ icon=”fujimotoyousuke1.jpg” name=”藤本陽介”]ぜひそうしてください。セキュリティ対策で一番大切なことかもしれません。よろしくお願いします。[/speech_bubble] [speech_bubble type=”drop” subtype=”L1″ icon=”man4.jpg” name=”佐藤部長”]今回は良いキッカケになりました。藤本さんどうもありがとうございました。また何かあったらぜひ助けてください。[/speech_bubble]

まとめ

いかがでしたか?ちょっと長文になりましたが、WordPressサイトで無料テーマなどを使っている場合は、この特定方法でユーザー名がバレてしまいます。

ユーザー名がバレてしまうことは、そこまでマズイというわけではないのですが、少し知識がある人なら、ユーザー名から推測していろいろな手段を使えば、パスワード認証に成功され、サイトにハッキングされ、情報を抜き出されたり、サイトを乗っ取られるかもしれません。
(※実はサイトをハッキングされても、普通の人は気づかないことの方がほとんどです。ハッキングする人たちは、足跡を残さないように侵入して、顧客情報などを盗むなどしますが、それに気づく方法はあまりありません。仮に侵入してソースコードを書き換えても、Googleサーチコンソールなどのツールで、サイト運営者がパスワードが破られたことに1ヵ月後に気づくぐらいだと思います。)

企業が運営するサイトで個人情報が抜かれたら、企業の存続に関わる事態になりかねません。

もちろん、個人サイトだって侵入されたら気持ち悪いですよね。

しっかり対策してください。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です