WordPressのマルチサイトを立ち上げた際、Lightsailなどでは初期の特権管理者が自動的に設定されるケースがあります。

adminやuserなど、よくあるユーザー名になっている場合は、ブルートフォースアタックと呼ばれる、パスワードの総当り攻撃で簡単にログインされてしまい、サイトの改ざんなどの危険に晒されます。

セキュリティの面から、ユーザー名を変更したいと考えますが、ユーザー名は一度設定すると、変更ができません。そのため、他のユーザーを設定し、adminやuserなどは削除する必要があります。

「特権管理者」を新規設定

WordPress Multiでは、サイトネットワークの管理権限を持つユーザーを「特権管理者」と呼称しています。初期設定のユーザーは特権管理者のため、そのままでは削除できません。

まず特権管理者であるユーザーでログインし、WordPressの管理画面から下記画面で新規ユーザーを追加します。

サイトネットワーク管理→ユーザー→新規追加

ユーザーが追加されたら、ユーザー一覧から新規追加されたユーザーの設定画面で「特権管理者」の項目から「このユーザーにサイトネットワークの特権管理者権限を与える」にチェックを入れ「ユーザーを更新」を押して、特権管理者権限を付与してください。

この際、新規追加の特権管理者ユーザーのパスワード再設定して控えておいてください。

新たな特権管理者が追加されたら、現在のアカウントからログアウトし、新たな特権管理者でログインし直してください。

初期ユーザーの設定を変更

新たな特権管理者でログインしたら、初期設定ユーザーの削除を行います。

まず、コンテンツが何もない状態であれば問題有りませんが、すでに運用をはじめているサイトなら、不測の事態に備えてデータベースなどのバックアップを行っておきます。

初期ユーザーの削除を行うためには、付与されている特権管理者の権限を外さないといけません。

このユーザーはネットワーク管理者用メールを持っているため特権管理者権限は削除できません

しかし、上記記載とともに、本来あるチェックボタンが表示されません。表示させるためには、削除したい初期ユーザーのメールアドレスを新たな別のアドレスに変更します。

アドレスは、適当なフリーメールなどで構いません。存在しないメールアドレスでも設定は可能ですが、予備用に作ってあるフリーメールのアドレスなどにしたほうが安全です。

初期ユーザーの特権管理を削除する

メールアドレスを変更すると特権管理者の項目に「このユーザーにサイトネットワークの特権管理者の権限を与える。」が表示され、チェックボタンを外して、ユーザーを更新すれば、特権管理者から外すことができます。

Lightsailでは、Multiを立ち上げた際に設定される初期ユーザー「user」のメールアドレス自体が存在しないダミーのものになっているためか、メールアドレスを変更した段階で自動的に、特権管理者から外れました。

初期ユーザーは特権管理者ではなくなりましたが、残しておくと前述したとおりブルートフォースアタックなどの危険があるため、削除しておいたほうが安全です。

しかし、ユーザー一覧から該当ユーザー名にカーソルを当てて表示される「削除」では削除できないことがあります。その場合は、ユーザー名の横にあるチェックボタンを押し、一括操作のタブから「削除」を選んで「適用」すれば、削除できます。