絶対に『ユーザ設定』です。
- WordPress が発行する ID:admin でログインする。
- 管理者(administrator) 権限のユーザ [A] を設定する。
- 投稿者(author) 権限のユーザ [B] を設定する。
- ログアウトし、改めて管理者(administrator) [A] でログインする。
- ID:admin を削除する。
"admin" というユーザ名でブログを更新し続ける人はほとんどいないでしょうから、「2」は普通に行われます。
この中で一番重要なのは、「2」をやった後、「5」をやることだと思います。
今回、初めて公開サーバに WordPress をインストールして分かったのですが、インストールに成功すると、WordPress は ID:admin とパスワードを記載したメールを登録アドレスに送信してくるのですね。
通常は暗号化されていないメールにパスワードを記載することは好ましくないこととされています。そこを敢えて WordPress ではそのような仕様にしているのは、メールを受け取った後に、上のような手順で ID:admin を速やかに削除することが期待されているのだろうと思いました。
なにしろ、クラッキングを行うようなプログラムでは "admin" などという ID は真っ先に狙うものなので、やっぱりこれは無くしておきたいところです。
次いで、重要なことは記事と一緒に公開される "author" に係る ID を管理者権限にしないことです。これは投稿者(author) 権限に止めるべきでしょう。
導入初期はいろいろと設定を変更することもあって、つい管理者(administrator) 権限でログインし続け、ついでに記事の更新も済ませてしまいがちですが、通常のブログ更新には、投稿者(author) 権限で十分です。
仮に投稿者(author) 権限 のパスワードが盗まれ、侵入されても、管理者権限の ID さえ無事なら対処できます。管理者権限の ID すら、なるべくオープンにしない心がけは大事だと思います。
最上位の管理者が自分以外に存在してくれる Web サービスではないので、せめてこれぐらいの用心はしておいてもいいでしょう。まあ、レンタルサーバだと、厳密には存在するのですけど、このぐらい姿勢があってもいいかな…と思いました。
0 comments ↓
There are no comments yet...Kick things off by filling out the form below.
Leave a Comment