WordPressをインストールした時の初期のユーザー名は【admin】になっている場合があります。最近ではレンタルサーバーに自動ワードプレスインストール機能が備わっており、自動でデータベースからワードプレスのインストール。更には初期状態でユーザー名がadminから別のユーザー名に変更されているものもあります。
国内には様々なレンタルサーバーサービスがありますが、Wordpress自動インストール昨日は標準になりつつ有りますね。
Wordpressを運営している方でユーザー名が【admin】の場合、サイトを乗っ取られる危険性があります。「自分には関係ない」と思うかもしれませんが、Crazy Bone というプラグインを使って、ログイン履歴をみるとチョット恐いです。
Crazy Bone をインストールして有効化すると【ユーザー】の欄に【ログイン履歴】という項目が追加されます。
フィルターで【login_error】を選択すると、海外の方から【admin】というユーザー名でログインしようとしているのが確認できます。
他にも【admin1】など。
不正ログインを防ぐために、管理者のユーザー名は必ず変更し、万が一のため【admin】ユーザーは削除しておいた方が良いですね。
更に、不正ログイン対策として【Limit Login Attempts】をインストールしておくことをオススメします。
Lockoutの項目を下ように設定しました。
- ログインのトライ回数を【1】回
- ログインに失敗したら【60】分ログインできない
- 【4】回ロックされると【10】時間ログインできない
- 【12】時間周期でリセットされる
サイトを乗っ取られてからでは遅いので、早めに手を打っておいたほうが良いですね!
