べつにやることはすごく単純なことなんだけどね。
大抵の人は、システム管理者権限をもたせているアカウントって、複数人がサインインするような大規模サイトであろうが、サインインはするのは一人しかいないようなサイトであろうが、普通は一つだけが定石。
当たり前だけど、なんでもできてしまう権限をもったアカウントを大量発行したら、それだけリスクが増えていく。
いくらファイヤーウォールでポート塞ごうが、アンチウイルスツールや、ファイル改ざん検知ツールとか導入していても、肝心のシステム管理者のユーザー名(サインインID)がバレてしまっていたら、あとはパスワードを特定するだけの作業になってしまう。
なのでシステム管理者のユーザー名は絶対にサイトから推測できるようなものにしてはいけない。
もちろん、サインイン画面に.htaccess でベーシック認証したり、IPでアクセス制限したりしていたら滅多なことでは突破されないだろうけど、念には念を入れておいた方がいいよってこと。
そして、本題。
MovableTypeですごいなと思ったのは、ユーザー名(サインインID)は半角英数字でなくても大丈夫なのだ。つまり漢字・平仮名・カタカナでも問題なくサインインできるってこと。意外に知らない人が多い。
ほとんどの不正アクセス元って海外からが大半なので、ユーザー名を英数字でなくした時点で、少なくともサインイン画面からの正面突破をされるリスクってのはかなり軽減できることになるので、MovableTypeのユーザー名(サインインID)はひらがなやカタカナなど海外の人がより推測しずらいものにしといた方がいいよって話でした。
