【第12回】無制限にできるユーザー追加は管理しないとリスク要因「ワードプレス作成講座」

この記事では、無制限にできるユーザー追加は管理しないとリスク要因という内容についてご説明致します。
動画で見る方は下記をご覧ください。

今日はユーザー追加についてのお話をしようと思います。
なぜこの話をしようと思ったかと言いますと、お客様で2社ほどリスクのある管理をされていたことが分かりまして、それも踏まえた上で今回の講座で共有しようと思います。

無制限にできるユーザー追加は管理しないとリスク要因ということで、今回はお話をして参ります。

「ユーザー追加」というのは、もちろんWordPressをご自身で作られた方は、自分自身が管理者のユーザーとなっていると思いますが、実はWordPressはほぼ無制限に様々な権限を持つユーザーの追加ができるんです。

その追加できるユーザーがどういうユーザーなのか？
また、管理者以外にも様々なユーザーの権限がありまして、その辺の話をいつものようにウェブロードのWordPress管理画面を見ながら話を進めて行きたいと思います。

下記がウェブロードのホームページの管理画面WordPressのユーザーの画面ですが、ユーザー名とメールアドレスは隠させてもらいます。

これが見えていますと、パスワードだけ分かればユーザー名とパスワードでログインが出来てしまいますので、リスクが高いということでここは見えない形にして進めさせていただきます。

ここでは、私が管理者として124投稿あり、もう1人編集者としてこのユーザーも追加して、今のところ2人で管理しているという状態です。

ユーザー追加というのはダッシュボードの左のメニューから、ユーザーのところで登録して、ユーザー一覧の新規追加→あなたのプロフィールという形で3つに分かれています。

もちろんあなたのプロフィールをクリックすると、今ログインしている私のこの一番上のユーザーですね、このユーザーのプロフィールが一覧で表示されることになります。

この状態で「あなたのプロフィール」をクリックしますと、現在ログインしている私のプロフィールが表示されるということになります。プロフィールはそれぞれのユーザー個人の設定が見られます。

ここで特に大きな問題はないんですけれども、サイトを見るときにツールバーを表示するという箇所にチェック入っていますよね。このチェックは何かといいますと、ログイン状態であれば、自分のホームページを見る際にサイト上部に「管理画面へのリンクの付いたツールバー」が出ることになり、見ている画面から直接すぐに管理画面に移動できます。

サイトを見るときにツールバーを表示するという部分は、ほとんどのサイトでこれをチェック入れて使っています。非常に便利で、ホームページをチェックするときに、自らのサイトの記事を見て、例えばよくあるご質問を見ていて、修正が必要な箇所があれば、ツールバーの「固定ページを編集」というリンクをクリックしますと、そのページが編集できる状態になります。

こういう感じで、管理者としては非常に便利な機能ですので、プロフィールのツールバーのところは必ずチェック入れるようにしています。

5つのユーザー権限

さて、ユーザーの話に戻しまして、こちらに「新規追加」というボタンがありまして、（上にも新規追加があるのですが）この新規追加を押すと、さまざまな権限のユーザーを、ご自身のWordPressに追加することができることになります。

新規ユーザーを追加するときに必須なのはユーザー名とメールアドレスだけです。ユーザー名を入力して、メールアドレスはその追加するユーザーのメールアドレスを入れるだけで、名前やサイトは必要ありません。

パスワードはこうやって開くと、これWordPressのシステムが自動的に作成してくれるんですね。

これなぜか最初から24桁になってるんです。

WordPressでパスワードを作るときにデフォルト状態が24桁っていうは、やっぱりこれぐらいの桁数のパスワードを今の時代使わないといけないということですね。

このくらいの長さになると、頭で覚えることができませんので、私は以前別の動画でご紹介させてもらったロボフォームを使っています。

あとはグーグルクロームのログインで、ブラウザに記憶させることもできますので、GoogleChromeを使っている方でしたら、ブラウザにパスワードを記憶させることができます。そうすると、サイトにアクセスしたときに自動的にログインできる状態になるという便利な機能があります。

このようなソフトを併用してご活用すれば安心でいいのではないかと思います。

次にユーザー追加ですが、管理者が新規ユーザーを追加するときにそのユーザーにユーザー名とメールアドレスで追加しました。

「パスワードはこれです」というような情報を送る時には、下記にチェックマークを入れます。
チェックマークを外せばただユーザーを追加するだけですが、別途追加したユーザーに、ユーザー名とメールアドレスとパスワードを教えてあげる必要が出てきます。

権限グループに関しましてWordPressではちょっとここはブッキングパッケージと予約担当者と顧客っていう僕が別で入れているプラグインの権限が出てきてますけれども、WordPressの基本的な権限としましてはこの下したからですね。

この下から、購読者・寄稿者・投稿者・編集者・管理者と、この5つのユーザー権限がWordPressには備え付けられているということなんですね。

まず購読者の権限っていうのが、例えば簡易制サイトを作ったときにその購読者のユーザー名とパスワードで会員のみがログインできるページにログインして、そのページを閲覧できるといった権限をつけるときに購読者の権限を使います。

寄稿者というのはブログを投稿してくれる方ですね。
この寄稿者の権限では画像のアップロードとかメディアを使えなかったり、記事を公開することができない権限にはなるんですけれども、とにかく下書き状態で記事を入れるということができる権限です。

続いて投稿者ですが、投稿者は記事を書いたり修正したり、画像や写真をアップロードしたり、あと記事を公開できる、記事オープンにできる権限を持つというのが投稿者の権限になります。

編集者の権限で、編集者は投稿者が持つ権限をすべて持ちますし、カテゴリーとかタグの設定をすることができる権限になります。

最後に管理者ですね。これはWordPressをインストールした方の権限になるのですが、管理者もさらに追加して、2人、3人と増やすことができるんですね。

ただ、管理者は基本的には一人だけにしておいて欲しいと思います。

もし管理者のユーザー名とかパスワードが誰かに知られてしまったりすると、それでログインされて、サイトそのものを削除したりとか、そういったことも可能になる権限なんですね。

ですから、管理者権限のユーザー名・パスワードを扱うときは非常に慎重になってほしいと思います。

お客様のサイトで危なかった事例

あと、最初にちょっとお話ししたサイト管理が危なかったお客様の話です。
その方は、いろんな方に投稿してもらうために投稿の権限を7人とか8人に与えました。
実際は管理者のご自身だけが投稿していて、そのほか数人につけていた投稿者の権限をそのまま放置していたみたいなんですね。

その放置していた投稿者のうちの1人のユーザーが、スパム投稿を繰り返していたということが分かりました。
これはその権限を受けた人がスパム投稿したのではなくて、メールとか何らかの形でログインアドレスとかユーザー名・パスワードがバレてしまって、そこから勝手に宣伝投稿みたいなことを10記事くらいされたというような事例がありました。

そのお客様に関しては使っていないと分かったユーザーをすべて削除して、以前の動画でお話ししたようなサーバー側でのIP制限とか、そういったセキュリティ関係の対応して、事なきを得た状態なんですね。

これはユーザーに関する事例ですけれども、メールアドレスなんかもそうなんです。
メールアドレスも社員が入社したり、退職したりっていうのを繰り返していると、システム側で退職した社員さんのメールアドレスがずっと残っているという場合もあるんですね。

その場合にやっぱり使っていないメールアドレスにどんなメールが来ているか分からないですし、誰に届いているかも分からなくて、ただサーバーだけにメールが来る。
その状態っていうのはあんまりいい状態じゃないんですね。

ですから、その管理者やシステムの管理者サーバーの管理者の方は必ず使っているメールアドレスかどうか、現在進行形で活用されているユーザー名かどうかっていうのは常に確認しておく必要があるんです。

事業者の方でもお一人でWordPressを管理されている方はいいんですけれども、2人以上と一緒になってチームで活用されている場合は、権限を持たせている人がきっちりとその情報を管理しているかどうかとか、不審な投稿が入ってきていないかとかのチェックは必須です。

また、セキュリティのプラグイン、例えばSiteGuardというプラグインがあるんですけれども、こういったプラグインを入れて、サイトの安全を守るというのも一つWordPress大事な守っていく手段になります。少しだけこういうユーザーのことも頭に入れておいていただければいいのかなと思います。

このプラグインはまた今後の講座でも取り上げる予定にしています。

こちらが最新情報です