WordPressのユーザーIDとパスワードは難しいほどセキュリティが高くなる、ログインするごとにPW変更する方法がよい

userkengenwp.jpg1つのWordPress(ワードプレス)を複数のユーザーで管理する場合はセキュリティに関する注意がより重要になる。なぜなら、WordPressはユーザーIDとパスワードだけでログインできるので、ハッカーに不正ログインされてしまう可能性が高いからである。二段階認証などにする方法もあるが、他のサービスを活用する必要もあるため設定が簡単ではない場合がある。
そもそものIDとPWが容易にわかりやすいものにしている場合は、基本的な運用ルールを見直してはどうだろう。

▼WordPressでユーザーを追加する画面の一例
wpusertourokupw.jpg

上記は一例であるが、実際にこのような安易なIDとPWを設定している場合もある。

ID sato
PW pass1234

という設定だと、そのうちに不正ログインされてしまう可能性が高いだろう。プログラムによるアタックで容易にIDとPWが想定されると思われる。

では、対策としてどうするか?

パスワードを強固なものにする。

WordPressでは強固なパスワードを生成するしくみがある。
kyoukonapw.jpg

上記のようなパスワードならば容易にわりだすことはできないだろう。人間が記憶できるものではないので運用管理は面倒になるが、安全性は格段に高まる。

しかし、それでも絶対ではない。
ID(ユーザー名)が簡易なものだとキュリティを突破される可能性が高くなるからだ。

IDもPWも強固なものにしたほうが不正ログインを防止しやすい。

IDを想定しにくい強固なものにする

ID(ユーザー名)はパスワードと同じくらい強固で破られにくいものにしてしまう方法がある。

idkyoukopw.jpg

上記の例は、強固なパスワードを生成させ、そのパスワードをユーザー名として設定しようとしているところである。

この方法だとID(ユーザー名)もパスワードも強固なので、情報漏えいさえなければ万全だろう。

しかし別の問題もある。このようなむずかしいID(ユーザー名)にしてしまうと自分のIDを記憶することがほぼ不可能だということだ。

その解決方法は、IDを使わずメールアドレスでログインするということである。

WordPressはメールアドレスとパスワードでログインできる

実はWordPressのログイン方法は「ID+パスワード」でも「メールアドレス+パスワード」でも、どちらでもよい。

そこで、ログインには「メールアドレス+パスワード」を使うようにすればIDはなんでもいいということになる。つまり、IDは他人から想定されそうなやさしいものは避け、自分でもわからないむずかしいものでよいということである。

メールアドレスを忘れることは少ないし、仮に忘れたとしてもメールの受信記録を見れば自分のメールアドレスを調べるのは容易である。メールアドレスを中心にして管理するということである。

ログインの都度パスワードを再発行する

WordPressにログインするたびごとにパスワードを再発行するという方法がある。メールアドレスさえわかればパスワードの再発行ができるのでその機能を活用する。

tudopwsaihakkousuru.jpg

ログイン画面で「パスワードをお忘れですか ?」というメッセージが下部に表示されるのでクリックするとパスワード再発行の画面になる。ここでメールアドレスを入れ「新しいパスワードを取得」をクリックすると、そのメールアドレスあてにパスワード再発行用のURLがWordPressのシステムから送信される。

wpmailkakunin.jpg

メールソフトで該当のメールを受信し、リンクをクリックすると次のような画面になるはずである。

pwsaihakkousiteroguin.jpg

ここで、新規パスワードを強力なもので発行する。遠田はそのまま使うのではなく、少し文字を追加したり修正したいしている。また、パスワードを生成するWEBサービスもあるので活用するのもよい。

パスワード生成
http://www.luft.co.jp/cgi/randam.php
生成したパスワードはそのまま使うのではなく、2つ組み合わせたり任意の文字を追加したりするようにしている。

pwseisei.jpg

上記のようなパスワードが生成された場合、このまま使わず2つ以上のパスワードを手動で合成する。

例えば、「BerWhzFn」と「6eKfDQEG」の2つを使い、
「6eKfDBerW-hzFnQEG」というパスワードを作成する。

これは「6eKfDQEG」の間に「BerWhzFn」を挿入し、さらに途中のどこかに「-」という記号を挿入したものである。

ひと手間かける理由は
・2つのパスワードを合成することで完全にオリジナルのパスワードになる
・「-」という記号が入ることで「半角英数」のみのパスワードより強固になる

強固なパスワード生成については
https://dm2.co.jp/2019/12/password.html
にて解説してあるので参考に。

そして、ここで作成した新規パスワードを「ctrl+c」で「コピー」しておくとよい。

メールアドレスでログインする方法がよい

そして、次のログイン画面では、メールアドレスを入力し、パスワード欄には今ほどコピーしたパスワードを「ctrl+v」で貼り付ければログインできるはずである。

ログインできたら、コピーしておいたパスワードは捨てる。残しておくと情報漏えいする危険があるからだ。毎回パスワードを発行してログインすればいいということである。

毎回この手順をすれば強固なパスワードを定期的に変更することになるので、不正ログインの可能性はとても低くなるはずである。

また、IDやPWはおぼえておく必要がなく、メールアドレスさえ管理しておけば必要なときにワードプレスにログインできるのもよい。

複数人で使うWordPressは、自分のパスワード情報漏洩が他の利用者にも大きな迷惑になるので、運用に注意したいものである。

なお、Amazonなどの大手サイトでも不正ログインはある。

不正アクセスの手口としては、悪意のあるソフトウェアを使用してユーザーのキーストロークをキャプチャする、よく使用されるパスワードを試す、アカウント情報を求める詐欺メールを送る(通称フィッシング)といったやり方が考えられます。

セキュリティには念には念を入れないといけない時代になっている。

Movable Typeの場合

Movable Typeでも同じようなことがいえる。

mtroguinid.jpg

これだとユーザー名で特定することは難しいだろう。

このエントリーをはてなブックマークに追加 遠田幹雄のLINE@アカウントを友だち追加  



この記事を書いた人

中小企業診断士:遠田幹雄の顔写真遠田 幹雄(とおだ みきお)
 
経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係るコンサルティング活動を展開しています。民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者
 
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。


この記事のURL「https://dm2.co.jp/2019/01/wordpressidpw.html」をQRコードで表示
この記事のURL「https://dm2.co.jp/2019/01/wordpressidpw.html」をQRコードで表示「https://dm2.co.jp/2019/01/wordpressidpw.html」
パソコンで表示されたページをスマホでも見たい場合は、このQRコードをスマホのカメラ(QRコードが読めるリーダー)で読むとページが表示されます。