ハシビィくんWordPressの管理者権限の部分って他の企業とかサイトってどうしてるんすか?退職したスタッフや外部の人のユーザーが放置になってるんすけど。
カピーさん使っていないのなら、放置はまずいな。そのほかにも適切に権限を付与できているかい?その辺りを解説していこうか。
WordPressには管理者権限というものがあり、これは簡単に付与することができます。ですが、不必要に付与しすぎてしまい、思わぬエラーや記事削除などのケースも散見されます。
今回は私が実際に見聞きしたケースを記事にして、対策をまとめてみましたので、どうぞ。
管理者権限はむやみに利用しない
WordPressの管理者権限は「すべての管理機能にアクセスできる」非常に強力な権限です。テーマの変更、プラグインの追加・削除、ユーザー管理といった大幅な操作が可能になるため、運用者のミスや不正アクセスが発生した場合のリスクも高まります。
特にユーザー追加時に「全部使えた方が便利だろう」と安易に管理者を割り当ててしまうのは危険です。記事執筆のみが目的なら「投稿者」、記事編集や公開管理を行うなら「編集者」で十分です。管理者権限を持つアカウントは必要最低限に抑えましょう。
不要になった管理者アカウントは権限を落とす
制作会社やフリーランスに依頼した際、納品までの過程で管理者アカウントを付与するのは一般的です。しかし、納品後に自社で運用する場合はそのまま放置せず、権限を見直すことが推奨されます。
- 今後も改修依頼をする予定がある場合
→ 管理者権限を「編集者」などに変更し、必要時のみ一時的に管理者へ戻す - 関係が完全に終了した場合
→ アカウントを削除
なぜなら、制作会社やフリーランスは複数サイトで同一のメールアドレスとパスワードを使い回している可能性があり、不正ログインのリスクを高めるからです。万一の漏えいに備えて、不要な管理者権限は放置せず整理しましょう。
ハシビィくん記事作成だけなら、管理者にする必要はないっすからね。
退職・異動時にはアカウントを整理
社内チームで管理している場合も、時間の経過とともに「不要な管理者アカウント」が増えていきます。
- 退職者のアカウントは削除
- 異動や役割変更で管理者権限が不要になった社員は権限を変更
- 外部委託に切り替えた場合は、社内の管理者権限を最小限に
たとえメールアドレスが廃止されていても、パスワードさえ有効ならログインは可能です。競合企業に転職した元社員がログインできる状況は、重大なセキュリティリスクです。定期的に棚卸しを行い、不要アカウントを必ず削除しましょう。
操作ログとデータベース肥大化の防止
WordPressでは操作ログを保存できるプラグイン(例:WP Activity Log)が存在します。セキュリティ対策として有効ですが、記録対象を全ユーザーにするとデータベースが肥大化してしまいます。
そのため、ログ保存対象は「管理者」に限定するのが望ましいです。さらに、管理者アカウントを必要最小限に抑えることで、ログの肥大化を抑制しつつ効率的な記録管理が可能になります。
管理者権限の適正な数を維持する
まとめると、管理者権限は「本当に必要な人」にだけ付与するのが基本です。
- 必要な業務内容に応じて権限を割り当てる
- 管理者は最小限にとどめる
- 定期的に棚卸しをして不要なアカウントは削除・権限変更
- ログ管理の観点からも、管理者を減らす方が効率的
運用上の利便性とセキュリティの両立を考えるなら、権限管理の仕組みを定期的に見直すことが欠かせません。
カピーさん管理者は多くとも3人程度かな。
まとめ:WordPress管理者権限は削除すべき?安全な権限管理と運用ルール
管理者権限は便利ですが、セキュリティリスクが高い権限です。安易に付与せず、不要になったアカウントは削除や権限変更を行い、運用体制を安全に保ちましょう。
- 管理者権限は必要最小限にとどめる
- 制作会社や外部業者の権限は納品後に見直す
- 退職者や異動者のアカウントは整理する
コメント(承認制)