非表示の WordPress 管理者ユーザーを削除するにはどうすればいいですか?

目に見えない WordPress管理者 アカウントは、ウェブサイトがハッキングされたり、マルウェアに感染したりしている兆候であることがよくあります。攻撃者は、ウェブサイトへのアクセス権を回復したり、悪意のあるスクリプトを挿入したり、データを盗んだり、標準のWordPressダッシュボード内で検出されることなく制御を維持するために、隠し管理者アカウントを作成します。

不審なアクティビティ、身に覚えのない管理者アカウント、または許可されていないウェブサイトの変更に気づいた場合は、これらの隠れたユーザーを直ちに削除することが重要です。Wordfenceによると 、WordPressサイトは1日に平均172件の攻撃を受けています。隠れた管理者アカウントは、侵害が成功したことを示す最も一般的な兆候の1つです。

要約：見えない管理者を削除する

• 目に見えないWordPress管理者ユーザーとは、サイトが侵害された後にマルウェアによって作成される、隠されたアカウントのことです。.

• それらはWordPressのダッシュボードには表示されませんが、データベース内には管理者権限で完全にアクセス可能な状態で存在します。.

• これらを削除するには、phpMyAdminにアクセスしてデータベースに直接クエリを実行する必要があります。.

• データベースに変更を加える前に、必ず完全なバックアップを作成してください。.

• 削除後は、すべてのプラグインを更新し、 二段階認証、管理者アカウントを毎月確認して、再発を防いでください。

WordPressのユーザーロールと権限を理解する

非表示のプロファイルを削除する前に、WordPressがサポートするユーザーロールを理解しておくと役立ちます。どのようなロールが存在するかを知っておくことで、そもそも管理者権限を持つべきではないアカウントを容易に特定できます。.

WordPressには6つのユーザーロールがあります。それぞれのロールでできることとできないことは以下のとおりです。

• スーパー管理者： WordPressマルチサイトネットワークを完全に制御でき、単一のインストール環境からすべてのサイトを管理できます。これは利用可能なアクセス権限の中で最高レベルです。

• 管理者： 設定、ユーザー、プラグイン、テーマなど、単一のWordPressサイトを完全に制御できます。マルウェアによって作成された隠しアカウントは、通常この役割を使用します。

• 編集者： 他のユーザーが作成した投稿やページを含め、あらゆる投稿やページを作成、編集、公開、削除できます。サイト設定へのアクセスやプラグインのインストールはできません。

• 著者： 自分の投稿のみを作成、編集、公開できます。他のユーザーのコンテンツにアクセスしたり、変更したりすることはできません。

• 投稿者： 自分の投稿を作成・編集することはできますが、管理者の承認なしに公開することはできません。

• 購読者： 自分のプロフィールのみ管理できます。サイトのコンテンツ、設定、他のユーザーへのアクセスはできません。

隠しアカウントを確認する際は、管理者とスーパー管理者の役割に注目してください。攻撃者がサイトへの実質的なアクセス権限を持つのは、この2つの役割だけです。.

WordPressにおける隠し管理者アカウントの一般的な兆候

隠された管理者アカウントは、WordPressウェブサイトのハッキング、 マルウェア感染、不正アクセス試行などと関連していることがよくあります。これらの兆候を早期に発見することで、データ損失、ウェブサイトのダウンタイム、そして繰り返されるセキュリティ侵害を防ぐことができます。

• 不明な管理者アカウント： ウェブサイトの正規の所有者や管理者によって作成されたものではないにもかかわらず、WordPress内に不審な管理者ユーザーが表示されます。

• 許可されていないプラグインまたはテーマのインストール： 許可なく新しいプラグイン、テーマ、またはファイルが追加され、悪意のあるスクリプトやバックドアが含まれている可能性があります。

• 不審なリダイレクトとスパムページ： ウェブサイト訪問者が、許可なく未知のウェブサイト、スパムページ、またはフィッシングリンクにリダイレクトされる。

• 予期せぬウェブサイトの変更： 承認された更新や編集がないにもかかわらず、コンテンツ、設定、ユーザー権限、またはウェブサイトのファイルが予期せず変更される。

• ログインとセキュリティの問題： 頻繁なログイン失敗、管理者アカウントのロック、または異常なログインアクティビティは、不正アクセス試行を示している可能性があります。

• ウェブサイトのパフォーマンス低下： につながる可能性があります ページの読み込み速度の低下 やウェブサイトの不安定化

WordPressの管理者ユーザーを隠しておくことが、なぜ深刻なセキュリティリスクとなるのか？

隠された管理者アカウントは、攻撃者があなたの知らないうちにWordPressウェブサイトを完全に制御することを可能にします。これらの不正なユーザーは、マルウェア感染、 プラグインの脆弱性、またはハッキングの成功後に作成されることがよくあります。

• 不正なウェブサイトアクセス： 隠された管理者ユーザーにより、攻撃者はWordPressダッシュボードにアクセスし、不正な変更を行うことができます。

• マルウェアの注入： ハッカーは、悪意のあるスクリプト、スパムコンテンツ、フィッシングリンク、または有害なファイルをウェブサイトに注入することができます。

• SEOスパムとリダイレクト： 不正なユーザーがスパムページを作成したり、訪問者を悪意のあるウェブサイトにリダイレクトしたりすることで、検索ランキングや評判を損なう可能性があります。

• データ盗難とセキュリティ侵害： 攻撃者は、顧客情報、ログイン認証情報、機密性の高いウェブサイトデータを盗むことができます。

• ウェブサイトのダウンタイムとパフォーマンスの問題： マルウェア 感染や隠された管理者アカウントは、ウェブサイトの速度低下、クラッシュ、全体的な安定性の低下を引き起こす可能性があります。

WordPress ウェブサイトから非表示の管理者を削除するにはどうすればいいですか?

WordPressダッシュボード内から隠し管理者アカウントを自動的に削除する方法はありません。これらのアカウントはデータベースに直接挿入されるため、ほとんどのホスティングコントロールパネルから利用できるWebベースのデータベース管理ツールであるphpMyAdminを使用してのみ、検出および削除できます。.

以下の手順を注意深く実行してください。バックアップの手順は絶対に省略しないでください。.

ステップ1: バックアップを作成する

データベースに手を加える前に、 UpdraftPlus またはBackupBuddyを使用して完全なバックアップを作成してください。どちらのプラグインも数分で完全なバックアップを作成し、万が一問題が発生した場合でもワンクリックでサイトを復元できます。

クリーンアップ作業中にミスをしてしまった場合でも、最新のバックアップがあればデータを失うことなく元に戻すことができます。この手順は絶対に省略しないでください。.

ステップ2：新しい管理者アカウントを作成する

現在の管理者ユーザー名が「admin」またはご自身の名前である場合は、今すぐ変更してください。推測しやすいユーザー名は、ブルートフォース攻撃の最初の標的の一つとなります。.

推測されにくいユーザー名で新しい管理者アカウントを作成してください。現在のアカウントからログアウトし、新しいアカウントでログインしてから次の手順に進んでください。これにより、次の手順を進めている間も管理者権限が維持されます。.

ステップ3: phpMyAdminにログインする

WordPressデータベースを直接管理するためのウェブベースのツールです。ホスティングコントロールパネルのデータベース管理セクションにあります。Cloudways 、 や Bluehost、ほとんどのホスティングプロバイダーはデフォルトでphpMyAdminを提供しています。

wp-config.php ファイルを開いて、データベース名、ユーザー名、パスワードを確認してください。これらはログイン時に必要になります。.

ステップ4：データベースを表示する

ログイン後、左側の列にあるデータベース名をクリックしてください。テーブルの一覧が表示されます。ここで重要なのは次の2つのテーブルです。

• wp_users: サイトに登録されているすべてのユーザーが表示されます。ここに表示されるユーザーID番号をメモしておいてください。これらは正規のアカウントです。ここに表示されず、次のステップで表示されるものは、隠しアカウントです。

• wp_usermeta: 各ユーザーのメタデータ（割り当てられた役割を含む）を保存します。マルウェアによって挿入された隠し管理者アカウントもここに保存されます。

ステップ5: ユーザーを特定して削除する

phpMyAdmin画面上部の「SQL」タブをクリックします。以下のクエリをテキストボックスに貼り付けて、「実行」をクリックします。

select * from wp_usermeta where meta_value LIKE '%administrator%';

これは、管理者権限が割り当てられているすべてのユーザーIDを返します。これらのIDを、wp_usersテーブルからメモしたIDと比較してください。クエリ結果には表示されるものの、wp_usersテーブルには存在しないIDは、削除する必要のある隠し管理者アカウントです。.

ステップ6：非表示アカウントを削除する

クエリ結果から、wp_usersテーブルに存在しないユーザーIDをすべて削除してください。削除するのは該当する行のみです。データベース内の他のデータは一切変更しないでください。.

完了したら、WordPressダッシュボードに戻り、「ユーザー」セクションを開きます。非表示のアカウントが削除され、自分の管理者アカウントが残っていることを確認してください。リストには、認識できるアカウントのみが表示されるはずです。.

WordPressで管理者ユーザーを隠蔽するのを防ぐには？

隠れた管理者ユーザーを防ぐには、 WordPressの定期的なセキュリティ監視 と積極的なウェブサイトメンテナンスが必要です。強力なセキュリティ対策は、マルウェア感染、不正な管理者アカウント、そして将来のハッキング攻撃のリスクを軽減するのに役立ちます。

• 強力な管理者パスワードを使用してください。 弱いパスワードは、攻撃者が総当たり攻撃によってアクセス権を取得するのを容易にします。パスワードマネージャーを使用して、管理者アカウントごとに少なくとも16文字の固有のパスワードを生成してください。

• 二段階認証を有効にする： 二段階認証は、ログインプロセスに認証手順を追加します。攻撃者がパスワードを入手したとしても、二段階認証がなければアカウントにアクセスできません。WP 2FAなどのプラグインを使えば、数分で設定できます。

• プラグインとテーマは定期的に更新してください。 古いプラグインやテーマには、ハッカーが悪用できる脆弱性が含まれていることがよくあります。

• マルウェアのスキャンを頻繁に実施しましょう： WordfenceまたはSolid Securityを使用して、週に一度スキャンを実行してください。これらのツールは、通常の活動パターンから外れた疑わしいファイル、悪意のあるスクリプト、および新たに作成された管理者アカウントを検出します。

• ログイン試行回数の制限： Limit Login Attempts Reloadedをインストールすると、ログイン失敗の繰り返しを自動的にブロックできます。ブルートフォース攻撃は、認証情報を解読するために無制限の試行に依存しています。

• 使用されていないプラグインとユーザーを削除する： 非アクティブなプラグインは潜在的な侵入経路となる可能性があります。現在使用されていないプラグインやテーマはすべて無効化して削除してください。アクセスが不要になったユーザーのアカウントも削除してください。

• WordPressファイアウォールを使用しましょう： Webアプリケーションファイアウォールは、悪意のあるトラフィックがサイトに到達する前にフィルタリングします。WordfenceとCloudflareはどちらも、あらゆる規模のWordPressサイトに適したファイアウォール保護を提供しています。

結論

目に見えないWordPress管理者ユーザーは、ほぼ間違いなくサイトに深刻な問題が発生した兆候です。phpMyAdminを使ってそれらを削除すれば、差し迫った脅威は解消されますが、攻撃者が侵入を許した脆弱性に対処する必要があります。.

サイトが安全だと判断する前に、すべてのプラグインとテーマを更新し、すべての管理者パスワードを変更し、二段階認証を有効にし、マルウェアのフルスキャンを実行してください。非表示のアカウントが繰り返し表示される場合は、根本原因が解決されていないことを意味します。.

非表示のWP管理者を削除することに関するよくある質問