WordPressは、なぜか昔からユーザー名が「admin」が多かったんです。

そのため、セキュリティーが異常に弱いです。

パスワードを自動生成してアタックしてくる”ロボット”と呼ばれるプログラムにかかると管理者ログインが突破される可能性が結構あります。

”自分の名前+誕生日”ぐらいのパスワードだと、突破される可能性はさらに高まります。
では、何をすればいいのか?
まずは、ユーザー名「admin」を変更すべきです。

次に、パスワードを”パスワード生成プログラム”などを使ってランダムな文字の組み合わせに変えます。

「パスワード生成」でググれば、いくらでも自動生成サービスが見つかります。

そして、最後が何回かログインに失敗したらユーザーを”ロックする仕組み”を組み込むことです。

この最後の自動ロックの仕組みが、最初からWordPressに備わっていれば仮にユーザー名が「admin」でパスワードが”
イニシャル+誕生日”といった柔いものでもさほど危なくないのです。

そこで、プラグインでこの機能を組み込めるのでご紹介します。(あくまで使う場合は自己責任で!)

参考サイトを見つけました。
http://princesswell.rocketserver.jp/wordpress/limit-login-attempts/

プラグイン名は「Limit Login Attempts」です。
ちなみに、WordPressの管理画面を乗っ取られると次のような問題が起きる可能性があります。

あなたのサイトの任意のページにこっそりとウィルスをばらまく仕組みを埋め込まれたりします。

見た目は同じなので、ITに詳しくない方にはぱっと見ではわからないでしょう。

そのため、ずっとウィルスをばらまいているサイトを運営していることになるのです。
これがよく言われる「踏み台にされる」ということなのです。
「踏み台にされた方だって被害者だ」と言ってもそのような話は通りません。

セキュリティの不備を突かれたあなたが悪いというのが一般的な見方になるからです。
ロックアウトの仕組みが一番いいと思うのですが、ご紹介したプラグインは、私も使い始めたばかりですので自信を持って進められません。

使われる場合は、自己責任でお願いします。

例えば、ロックアウトされたら自分であってもログインできなくなりますし、デフォルトの設定ではロックアウト回数が何度も増えると長時間誰もログインできないこともあります。

使う場合は、このリスクを承知の上で使ってください。
ですので、設定に自信がない方は、(1)adminを変えるのと、(2)パスワードを自動生成文字に変えるだけにしてください。

ただ、これだけでもかなり効果が上がります。

絶対に、adminの放置はまずいと思います。