最近、ブログやサーバー会社からのお知らせでWordPressに対するブルートフォース攻撃のお知らせを見かけている方も多いはず。私のところにもよく来ます。

米国セキュリティ機関のUS-CERTによると、ブルートフォース攻撃と呼ばれる
手段により「admin」ユーザーのパスワードの奪取、ならびにWordPressの管理
画面の制御を行うための大規模な攻撃が続いているとのことです。

ということで、ID:adminにかかわらず類推されやすいIDなどを切り替えたりしているわけですが、
マルチサイトの特権管理者になっているIDを変更する(正確には削除して新しいアカウントを作る)作業にちょっと迷ってしまったので備忘録メモ。

1:新しいアカウントを作成する

WordPressはユーザーIDの変更ができませんので、adminを削除し、新しいアカウントを作成する(または既存の別アカウントを使う)ことになります。
まずは「ユーザー」→「新規追加」で新しいアカウントを作成。

 

ユーザー新規追加
ユーザー新規追加

2:新しいアカウントを特権管理者にする

ユーザー管理画面から新規アカウントを「特権管理者」にします。

ユーザー編集画面
ユーザー編集画面

 3:新しいアカウントで再ログインし、Adminアカウントの特権管理者権限を外す

Adminアカウントに削除のボタンが出ない時は、Adminアカウントの特権管理者権限を外す必要があります。

通常はユーザー編集画面で権限を外すことができますが、時々権限のチェックボックスが出てこないことがあります。

3−2:各サイトの編集→ユーザーでAdminを削除

特権管理者権限のチェックボックスが表示されないときには、各サイトの編集→ユーザータブを選択して、そこからAdminを削除します。

※ついでに新しいアカウントを各サイトにも追加します。

すべてのサイトからユーザー削除を行うと、Adminの編集画面に特権管理者権限のチェックボックスが表示されるはずです。

4:ユーザー一覧画面でAdminにチェックを入れ、一括操作ボタンから削除

Adminアカウントの特権管理者権限を外すと、「削除」のボタンが表示されるようになりますが、なぜかこの削除ボタンがうまく作動しない場合があります。

このため、Admin削除時には一括操作からの削除をおすすめします。

WPuser1

以上で削除は完了です。

サイトの各投稿は、作成者の欄が空欄になっていることがあります(バージョンによって違うかもしれません)ので、その際は新しいアカウントを記事作成者に指定しておきます。(これも一括編集が便利です)

 

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

Gravatar
WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

キャンセル

%s と連携中