WordPressの特権管理者（Super Admin）は通常の管理者とは異なり、ネットワーク全体の管理権限を持つため、削除が制限されることがあります。今回は、初期の特権管理者を削除する方法を解説します。

特権管理者の削除が必要になった背景

最近、WordPressのサイトで「サイトのロックアウト通知」というメールが多数届くようになり、「Too many bad login attempts」というメッセージが表示されるケースが増えています。これは、何者かが繰り返しログインを試みていることを示しており、以下の2つの可能性が考えられます。

可能性1：ユーザー名が漏洩している

何らかの理由でユーザー名が第三者に知られている可能性があります。一般的に、攻撃者は「ユーザー名＋パスワードのリスト」を用いた クレデンシャルスタッフィング攻撃 を試みることがあります。

可能性2：ブルートフォース攻撃（総当たり攻撃）

ユーザー名が漏洩していなくても、攻撃者がランダムなユーザー名でログインを試み、その中で偶然存在していた可能性もあります。

今回、特権管理者（仮にAとする）を削除しようと考えた理由は、このような攻撃のリスクを低減するためです。

特権管理者の削除ができない原因

初期設定の特権管理者（Super Admin）は、そのままでは削除することができません。削除するためには、新たに特権管理者を追加して、初期設定の特権管理者を外す必要があります。
なお、特権管理者の権限を解除するためには、設定されているメールアドレスを変更しなければなりません。

特権管理者を削除する手順

以下の手順で初期の特権管理者（A）を削除できます。

1. 新しく特権管理者（仮にBとする）を追加する

1. 「ネットワーク管理」→「ユーザー」へ移動
2. 「新規追加」をクリック
3. 新しいユーザーBを作成し、「特権管理者」に設定
4. Bのアカウントでログインし、特権管理者権限が付与されていることを確認

2. Aでログインし、メールアドレスを変更する

1. AのアカウントでWordPressにログイン
2. 「ユーザー」→「プロフィール」を開く
3. メールアドレスを別のものに変更し、保存する
4. 変更したメールアドレスに届いた確認メールを承認する

3. Bでログインし、Aの特権管理者権限を外す

1. Bのアカウント（新しく作成した特権管理者）でログイン
2. 「ネットワーク管理」→「ユーザー」からAの情報を開く
3. Aの特権管理者の権限を解除する
4. 権限の変更が可能な場合には、「編集者」や「投稿者」に変更する

4. Aを削除する

1. Bでログインしたまま「ユーザー一覧」を開く
2. Aのユーザー名の横にあるチェックボックスを選択
3. 「一括操作」のプルダウンメニューから「削除」を選択し、「適用」する
4. Aのアカウントを完全に削除

特権管理者を削除すべき理由

特権管理者の権限を解除しただけでは、アカウント自体は残ります。しかし、ブルートフォースアタック（総当たり攻撃）などのセキュリティリスクを考慮すると、不要なユーザーアカウントは削除しておく方が安全です。

特に、初期の特権管理者アカウントをそのまま残しておくと、攻撃者に狙われやすくなる可能性があります。そのため、特権管理者の削除後は、適切なユーザー管理を行い、不要なアカウントを残さないようにしましょう。

まとめ

• サイトのロックアウト通知が増えた場合、攻撃を受けている可能性がある
• 新しくB（特権管理者）を作成する必要がある
• 特権管理者の削除には、まずメールアドレスの変更が必要
• BでAの特権管理者権限を外す
• Aを削除する際は「一括操作」から削除を適用
• 不要なユーザーを残さず、セキュリティリスクを最小限にする