1つのWordPress(ワードプレス)を複数のユーザーで管理する場合はセキュリティに関する注意がより重要になる。
なぜなら、WordPressはユーザーIDとパスワードだけでログインできるので、ハッカーに不正ログインされてしまう可能性が高いからである。
二段階認証などにする方法もあるが、他のサービスを活用する必要もあるため設定が簡単ではない場合がある。
パスワード
パスワード運用ルールを見直す
そもそものIDとPWが容易にわかりやすいものにしている場合は、基本的な運用ルールを見直してはどうだろう。
▼WordPressでユーザーを追加する画面の一例
上記は一例であるが、実際にこのような安易なIDとPWを設定している場合もある。
ID sato
PW pass1234
という設定だと、そのうちに不正ログインされてしまう可能性が高いだろう。プログラムによるアタックで容易にIDとPWが想定されると思われる。
では、対策としてどうするか?
パスワードを強固なものにする。
WordPressでは強固なパスワードを生成するしくみがある。
上記のようなパスワードならば容易にわりだすことはできないだろう。人間が記憶できるものではないので運用管理は面倒になるが、安全性は格段に高まる。
しかし、それでも絶対ではない。
ID(ユーザー名)が簡易なものだとキュリティを突破される可能性が高くなるからだ。
IDもPWも強固なものにしたほうが不正ログインを防止しやすい。
IDを想定しにくい強固なものにする
ID(ユーザー名)はパスワードと同じくらい強固で破られにくいものにしてしまう方法がある。
上記の例は、強固なパスワードを生成させ、そのパスワードをユーザー名として設定しようとしているところである。
この方法だとID(ユーザー名)もパスワードも強固なので、情報漏えいさえなければ万全だろう。
しかし別の問題もある。このようなむずかしいID(ユーザー名)にしてしまうと自分のIDを記憶することがほぼ不可能だということだ。
その解決方法は、IDを使わずメールアドレスでログインするということである。
WordPressはメールアドレスとパスワードでログインできる
実はWordPressのログイン方法は「ID+パスワード」でも「メールアドレス+パスワード」でも、どちらでもよい。
そこで、ログインには「メールアドレス+パスワード」を使うようにすればIDはなんでもいいということになる。つまり、IDは他人から想定されそうなやさしいものは避け、自分でもわからないむずかしいものでよいということである。
メールアドレスを忘れることは少ないし、仮に忘れたとしてもメールの受信記録を見れば自分のメールアドレスを調べるのは容易である。メールアドレスを中心にして管理するということである。
ログインの都度パスワードを再発行する
WordPressにログインするたびごとにパスワードを再発行するという方法がある。メールアドレスさえわかればパスワードの再発行ができるのでその機能を活用する。
ログイン画面で「パスワードをお忘れですか ?」というメッセージが下部に表示されるのでクリックするとパスワード再発行の画面になる。ここでメールアドレスを入れ「新しいパスワードを取得」をクリックすると、そのメールアドレスあてにパスワード再発行用のURLがWordPressのシステムから送信される。
メールソフトで該当のメールを受信し、リンクをクリックすると次のような画面になるはずである。
ここで、新規パスワードを強力なもので発行する。遠田はそのまま使うのではなく、少し文字を追加したり修正したいしている。また、パスワードを生成するWEBサービスもあるので活用するのもよい。
パスワード生成
http://www.luft.co.jp/cgi/randam.php
生成したパスワードはそのまま使うのではなく、2つ組み合わせたり任意の文字を追加したりするようにしている。
上記のようなパスワードが生成された場合、このまま使わず2つ以上のパスワードを手動で合成する。
例えば、「BerWhzFn」と「6eKfDQEG」の2つを使い、
「6eKfDBerW-hzFnQEG」というパスワードを作成する。
これは「6eKfDQEG」の間に「BerWhzFn」を挿入し、さらに途中のどこかに「-」という記号を挿入したものである。
ひと手間かける理由は
・2つのパスワードを合成することで完全にオリジナルのパスワードになる
・「-」という記号が入ることで「半角英数」のみのパスワードより強固になる
強固なパスワード生成については
https://dm2.co.jp/2019/12/password.html
にて解説してあるので参考に。
そして、ここで作成した新規パスワードを「ctrl+c」で「コピー」しておくとよい。
メールアドレスでログインする方法がよい
そして、次のログイン画面では、メールアドレスを入力し、パスワード欄には今ほどコピーしたパスワードを「ctrl+v」で貼り付ければログインできるはずである。
ログインできたら、コピーしておいたパスワードは捨てる。残しておくと情報漏えいする危険があるからだ。毎回パスワードを発行してログインすればいいということである。
毎回この手順をすれば強固なパスワードを定期的に変更することになるので、不正ログインの可能性はとても低くなるはずである。
また、IDやPWはおぼえておく必要がなく、メールアドレスさえ管理しておけば必要なときにワードプレスにログインできるのもよい。
複数人で使うWordPressは、自分のパスワード情報漏洩が他の利用者にも大きな迷惑になるので、運用に注意したいものである。
なお、Amazonなどの大手サイトでも不正ログインはある。
不正アクセスの手口としては、悪意のあるソフトウェアを使用してユーザーのキーストロークをキャプチャする、よく使用されるパスワードを試す、アカウント情報を求める詐欺メールを送る(通称フィッシング)といったやり方が考えられます。
セキュリティには念には念を入れないといけない時代になっている。
Movable Typeの場合
Movable Typeでも同じようなことがいえる。
これだとユーザー名で特定することは難しいだろう。
この記事を書いた遠田幹雄は中小企業診断士です
遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者など
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。
【反応していただけると喜びます(笑)】
記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。
遠田幹雄が利用しているSNSは以下のとおりです。
facebook https://www.facebook.com/tohdamikio
ツイッター https://twitter.com/tohdamikio
LINE https://lin.ee/igN7saM
チャットワーク https://www.chatwork.com/tohda
また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はデジタルコンテンツ購入という通販のしくみにしました。
※投げ銭は100円からOKです。シャレですので笑ってください(笑)
