adminというアカウント名はヤバい

WordPress のデフォの admin というアカウントは乗っ取りの対象になりやすいという話を聞いて、なるほどそりゃそうだなと思いました。このブログサイトを作った時にはそんなこと気にしないでほいほい初期設定のままでやっちゃいましたけど、大したサイトじゃござんせんが悪事の踏み台にでもされたら困ります。

といってもadmin名義で投稿した記事が既に結構ありますから、アカウントを削除するってえのは避けたいところです。なので、こんな風にしました。

  1. adminの権限を閲覧のみに制限。
  2. attocraftという制限アカウントを追加して、普段の投稿にはこちらを使う。
  3. すべての管理者権限を持つアカウントを別に作り、こっちはアカウント名も内緒にしておく。

普通にWEBサイトを作る時は関係者しか知らないアカウントを使ってftpでアップロードしますからこういうことを気にする必要は無いんですけどね。ブログならではの配慮が必要だったということのようです。

しかし考えてみると、unix系ならroot、Windowsならadministratorっていうのはアカウント名は固定でパスワードでしか保護されていないという意味ではおっかなさは同じかも知れません。最近のWindowsはAdministratorアカウントは初期設定では使えなくなっているみたいですが、Linuxはどうなんでしょう。インターネットからsshでログイン出来る環境だと、最初からアカウント名がバレてるという点でroot が一番ハッキングしやすいなんてことになってたりしませんかね。