ワードプレス(WordPress)セキュリティ

WordPressのユーザーIDとパスワードは難しいほどセキュリティが高くなる、ログインするごとにPW変更する方法がよい

この記事は約5分で読めます。

userkengenwp.jpg1つのWordPress(ワードプレス)を複数のユーザーで管理する場合はセキュリティに関する注意がより重要になる。
なぜなら、WordPressはユーザーIDとパスワードだけでログインできるので、ハッカーに不正ログインされてしまう可能性が高いからである。
二段階認証などにする方法もあるが、他のサービスを活用する必要もあるため設定が簡単ではない場合がある。

パスワード

パスワード運用ルールを見直す

そもそものIDとPWが容易にわかりやすいものにしている場合は、基本的な運用ルールを見直してはどうだろう。

▼WordPressでユーザーを追加する画面の一例
wpusertourokupw.jpg

上記は一例であるが、実際にこのような安易なIDとPWを設定している場合もある。

ID sato
PW pass1234

という設定だと、そのうちに不正ログインされてしまう可能性が高いだろう。プログラムによるアタックで容易にIDとPWが想定されると思われる。

では、対策としてどうするか?

パスワードを強固なものにする。

WordPressでは強固なパスワードを生成するしくみがある。
kyoukonapw.jpg

上記のようなパスワードならば容易にわりだすことはできないだろう。人間が記憶できるものではないので運用管理は面倒になるが、安全性は格段に高まる。

しかし、それでも絶対ではない。
ID(ユーザー名)が簡易なものだとキュリティを突破される可能性が高くなるからだ。

IDもPWも強固なものにしたほうが不正ログインを防止しやすい。

IDを想定しにくい強固なものにする

ID(ユーザー名)はパスワードと同じくらい強固で破られにくいものにしてしまう方法がある。

idkyoukopw.jpg

上記の例は、強固なパスワードを生成させ、そのパスワードをユーザー名として設定しようとしているところである。

この方法だとID(ユーザー名)もパスワードも強固なので、情報漏えいさえなければ万全だろう。

しかし別の問題もある。このようなむずかしいID(ユーザー名)にしてしまうと自分のIDを記憶することがほぼ不可能だということだ。

その解決方法は、IDを使わずメールアドレスでログインするということである。

WordPressはメールアドレスとパスワードでログインできる

実はWordPressのログイン方法は「ID+パスワード」でも「メールアドレス+パスワード」でも、どちらでもよい。

そこで、ログインには「メールアドレス+パスワード」を使うようにすればIDはなんでもいいということになる。つまり、IDは他人から想定されそうなやさしいものは避け、自分でもわからないむずかしいものでよいということである。

メールアドレスを忘れることは少ないし、仮に忘れたとしてもメールの受信記録を見れば自分のメールアドレスを調べるのは容易である。メールアドレスを中心にして管理するということである。

ログインの都度パスワードを再発行する

WordPressにログインするたびごとにパスワードを再発行するという方法がある。メールアドレスさえわかればパスワードの再発行ができるのでその機能を活用する。

tudopwsaihakkousuru.jpg

ログイン画面で「パスワードをお忘れですか ?」というメッセージが下部に表示されるのでクリックするとパスワード再発行の画面になる。ここでメールアドレスを入れ「新しいパスワードを取得」をクリックすると、そのメールアドレスあてにパスワード再発行用のURLがWordPressのシステムから送信される。

wpmailkakunin.jpg

メールソフトで該当のメールを受信し、リンクをクリックすると次のような画面になるはずである。

pwsaihakkousiteroguin.jpg

ここで、新規パスワードを強力なもので発行する。遠田はそのまま使うのではなく、少し文字を追加したり修正したいしている。また、パスワードを生成するWEBサービスもあるので活用するのもよい。

パスワード生成
http://www.luft.co.jp/cgi/randam.php
生成したパスワードはそのまま使うのではなく、2つ組み合わせたり任意の文字を追加したりするようにしている。

pwseisei.jpg

上記のようなパスワードが生成された場合、このまま使わず2つ以上のパスワードを手動で合成する。

例えば、「BerWhzFn」と「6eKfDQEG」の2つを使い、
「6eKfDBerW-hzFnQEG」というパスワードを作成する。

これは「6eKfDQEG」の間に「BerWhzFn」を挿入し、さらに途中のどこかに「-」という記号を挿入したものである。

ひと手間かける理由は
・2つのパスワードを合成することで完全にオリジナルのパスワードになる
・「-」という記号が入ることで「半角英数」のみのパスワードより強固になる

強固なパスワード生成については
https://dm2.co.jp/2019/12/password.html
にて解説してあるので参考に。

そして、ここで作成した新規パスワードを「ctrl+c」で「コピー」しておくとよい。

メールアドレスでログインする方法がよい

そして、次のログイン画面では、メールアドレスを入力し、パスワード欄には今ほどコピーしたパスワードを「ctrl+v」で貼り付ければログインできるはずである。

ログインできたら、コピーしておいたパスワードは捨てる。残しておくと情報漏えいする危険があるからだ。毎回パスワードを発行してログインすればいいということである。

毎回この手順をすれば強固なパスワードを定期的に変更することになるので、不正ログインの可能性はとても低くなるはずである。

また、IDやPWはおぼえておく必要がなく、メールアドレスさえ管理しておけば必要なときにワードプレスにログインできるのもよい。

複数人で使うWordPressは、自分のパスワード情報漏洩が他の利用者にも大きな迷惑になるので、運用に注意したいものである。

なお、Amazonなどの大手サイトでも不正ログインはある。

不正アクセスの手口としては、悪意のあるソフトウェアを使用してユーザーのキーストロークをキャプチャする、よく使用されるパスワードを試す、アカウント情報を求める詐欺メールを送る(通称フィッシング)といったやり方が考えられます。

セキュリティには念には念を入れないといけない時代になっている。

Movable Typeの場合

Movable Typeでも同じようなことがいえる。

mtroguinid.jpg

これだとユーザー名で特定することは難しいだろう。