adminユーザーの削除

どうやらWordPressの管理者ユーザーとして一般的に最初に作成されるadminを決め打ちで狙った辞書攻撃が多発しているらしい。

このサイトのadminユーザーのパスワードはパスワードジェネレーターで生成したランダム文字列にしてあるので辞書攻撃に屈するとは思えないが、それでも普段使わないユーザーに攻撃を受ける可能性があるというのは気持ち悪いのでadminユーザーは削除することにする。

まずは自分のアカウントを特権管理者に昇格。次にadminユーザーの所有にしてあるトップサイトのユーザーに自分を追加。最後にadminユーザーを削除すればOKかと思いきや、adminユーザーはサイト管理者のメールアドレスを持っているので削除できないとかぬかしおる。

ちょっと調べてみると新しいユーザーを作成してから削除しろとか書いてあるんだが、サイト管理者のメールアドレスを持った別のユーザーを作成しようとすると、同じメールアドレスを持ったユーザーが既にいると言って登録拒否。なんじゃこれ。しょうがないので、adminユーザーのメールアドレスを適当に変更する。これはできるのね。

待てよ?adminユーザーのメールアドレスが変更できるのなら、これでサイト管理者のアドレスとは違う様になったのだから、先のサイト管理者のメールアドレスを持ったユーザーは削除できないという制限には引っかからないのではないか?と思い削除を試みたら、案の定、削除できるじゃないの。つまり、WordPressはサイト管理者として登録されたメールアドレスを持つユーザーを削除できない特別ユーザーとして扱うくせに、このアドレスを持つユーザーが存在しなくてもまったく気にしないということか。意味が分からんが、まあ結果的に攻撃を受けやすいユーザーがいなくなったので良しとしよう。

 

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください