WordPressの管理者メールアドレスがdev-email@wpengine.localになってた!乗っ取られたのか分かりやすく解説
目次
WordPressの管理者メールアドレスが「dev-email@wpengine.local」になっている理由
WordPressの管理画面を確認した際、管理者メールアドレスが「dev-email@wpengine.local」という見慣れないアドレスになっており、不安になった方も多いのではないでしょうか。
結論から言うと、この表示だけで「乗っ取られた」と判断する必要はありません。 多くの場合、サーバー環境や初期設定が原因で一時的に表示されているものです。
「dev-email@wpengine.local」とは何か
「dev-email@wpengine.local」は、主にWP EngineなどのマネージドWordPressサーバーで使われる開発環境用の仮メールアドレスです。
WordPressを自動インストールした際や、ステージング環境(テスト環境)を作成した際に、初期値として自動設定されるケースがあります。
この状態は乗っ取りなのか?結論から解説
管理者メールアドレスが「dev-email@wpengine.local」になっているだけでは、乗っ取りの証拠にはなりません。
実際には以下のような「正常な理由」で起きていることがほとんどです。
サーバー側の初期設定が反映されているだけ
WP Engineなどのサーバーでは、WordPressを構築する際に一時的な管理者情報が自動で設定されます。 その際、通知メールが外部に送信されないよう、仮のローカルアドレスが使われることがあります。
ステージング環境から本番環境へ移行した影響
ステージング環境(検証用サイト)で作業を行い、そのまま本番に反映した場合、管理者メールアドレスも一緒に引き継がれてしまうことがあります。
本当に危険なケースとの見分け方
とはいえ、すべてのケースで安心とは限りません。 以下のような症状がある場合は、念のため注意が必要です。
自分が設定していないユーザーが追加されている
管理画面の「ユーザー一覧」に、心当たりのない管理者ユーザーが存在する場合は注意が必要です。
パスワード変更や通知メールが届いている
自分で操作していないのに、パスワード変更やメールアドレス変更の通知が届いている場合は、不正アクセスの可能性があります。
テーマやプラグインが勝手に変更されている
見覚えのないテーマ変更やプラグインの追加・削除があった場合も、セキュリティ確認を行いましょう。
今すぐやるべき安全な対処方法
たとえ乗っ取りでなかったとしても、管理者メールアドレスが仮のままなのは望ましくありません。 以下の手順で必ず修正しておきましょう。
管理者メールアドレスを正しいものに変更する
WordPress管理画面の「設定」→「一般」から、普段使用しているメールアドレスに変更してください。 変更後は確認メールが届くので、承認を忘れずに行いましょう。
管理者パスワードを再設定する
念のため、管理者アカウントのパスワードを強力なものに変更しておくと安心です。 英数字・記号を組み合わせたパスワードを推奨します。
不要な管理者ユーザーがいないか確認する
不要な管理者権限のユーザーがいないかをチェックし、不要なものは削除してください。
WP Engine利用時に知っておきたい注意点
WP Engineでは、開発環境・ステージング環境・本番環境が明確に分かれています。 そのため、環境移行時に設定が意図せず引き継がれることがあります。
環境移行後は設定を必ず見直す
特に以下の項目は、移行後に必ず確認することをおすすめします。
- 管理者メールアドレス
- 管理者ユーザー
- セキュリティプラグインの設定
まとめ|慌てず確認すれば問題ないケースがほとんど
WordPressの管理者メールアドレスが「dev-email@wpengine.local」になっていると、不安になるのは当然です。
しかし多くの場合は、サーバーや環境移行に伴う正常な初期設定の名残であり、乗っ取りとは無関係です。
落ち着いて管理者情報を確認し、メールアドレスとパスワードを正しく設定し直すことで、安全に運用を続けることができます。
