WordPress パスワード セキュリティ ガイドラインの実装方法

公開: 2022-12-22

サイトのセキュリティには、アクセスするユーザーの参加が必要です。 たとえば、WordPress のログイン ページをセキュリティで保護する必要がある一方で (エントリ ポイントであるため)、ユーザーが選択する資格情報も強力である必要があります。 これにより、悪意のあるユーザーがあなたのサイトに無料でアクセスできないことがほぼ確実になります。

このチュートリアルでは、WordPress のパスワード セキュリティ ガイドラインを実装する方法を見ていきます。 これは、WordPress のパスワード保護に関する関連記事の一部をカバーするものです。 ただし、独自の強力なパスワード ポリシーに沿って、ユーザーがこれらのガイドラインに従うようにする方法についても説明します。

パスワードのセキュリティが重要な理由

表面的には、これは単純なはずです。強力なパスワードは、ハッカーやその他の悪意のあるユーザーがサイトに侵入するのに苦労することを意味します. ただし、ここではさらに考慮すべきことがあります。

  • 強力なパスワードは、チェーン内の 1 つのリンクにすぎません。 ただし、それらがなければ、安全なシャックルはすぐに腐食します.
  • 頻繁に変更される強力なパスワードを設定する必要があるため、サイトの偽のユーザーやボットと戦うことができます.
  • WordPress は安全なプラットフォームです。 ただし、WordPress の人気は、それが共通の標的であることを意味します。 強力な (そして徹底した) パスワード セキュリティ ポリシーにより、サイト全体が保護されます。

全体として、堅牢で強力なパスワード セキュリティは、Web サイトにとって不可欠です。 実際、WordPress には、サインアップと登録のためにより強力なパスワードを設定するのに役立つ機能が含まれています。

WordPress を使用してすべてのユーザーに強力なパスワードを実装する方法

WordPress.org Web サイトでは、WordPress パスワードのベスト プラクティスの独自のリストを提供していますが、プラットフォームには現在、ユーザーに強力なパスワードの使用を促す方法が含まれています。 これは、WordPress ダッシュボードのユーザー プロフィール ページからテストできます。

パスワード フィールドが表示されている WordPress プロファイル ページ。
パスワード フィールドが表示されている WordPress プロファイル ページ。

アカウント管理セクションには、デフォルトで 2 つのオプションが含まれていますが、ここで興味深いのは 1 つです。 [新しいパスワードの設定]ボタンを使用して、強力で一意のパスワードを自動入力するフィールドを開くことができます。 ユーザーがここで行う必要があるのは、パスワードをコピーして保存し (これについては後で詳しく説明します)、変更を保存することだけです。

WordPress 内で新しい強力なパスワードを設定します。
WordPress 内で新しい強力なパスワードを設定します。

ただし、ユーザーが脆弱なパスワードを設定しようとすると、ダイアログとオプションがこれを反映して変化することがわかります。

WordPress 内で脆弱なパスワードを設定しようとしています。
WordPress 内で脆弱なパスワードを設定しようとしています。

このような場合、ユーザーはチェックボックスを使用して脆弱なパスワードを使用することを確認する必要があります。 ただし、これは余分な手順ですが、ほとんどのユーザーはおそらくボタンをクリックして変更を保存します。

これは、サイトの脆弱性の 1 つになるため、理想的ではありません。 代わりに、パスワード セキュリティ ポリシーを実装する必要があります。

サイトとユーザーに強固なパスワード セキュリティ ポリシーが必要な理由

WordPressパスワード保護の完全なガイドで、パスワードポリシーについて説明しています. ただし、要約すると、強力なパスワード セキュリティ ポリシーを使用すると、プロセスの大部分がユーザーの手から解放されます。

そのため、高度なパスワード クラッキング ボットやブルート フォース攻撃について心配する必要はありません。 代わりに、ガイドラインに適合するポリシーをユーザーに提供し、ユーザーが引き続きサイトを安全に操作できるようにすることができます。

ただし、強力なパスワード ポリシーがどのようなものかを知っておくことは重要です。 これについては次に説明しましょう。

強力なパスワード セキュリティ ポリシーの要素

強力なパスワード セキュリティ ポリシーの主な利点の 1 つは、自分のニーズとユーザーのニーズに合わせてカスタマイズできることです。 ただし、サイトを強化してユーザーを保護するために導入できる WordPress のパスワード ルールとポリシーは多数あります。

  • すべてのパスワードの最小長を確保できます。
  • また、パスワードの有効期限も設定する必要があります。 そうしないと、同じユーザーのパスワードが長期間にわたって使用されることになり、危険です。 有効期限を強制すると、ユーザーは新しい強力なパスワードを作成するように促されます。
  • WordPress のユーザー ロールにも異なるパスワード ルールを設定できます。 たとえば、管理者は寄稿者よりも厳格なポリシーを求めるでしょう。

後で、WordPress 専用のポリシー プラグインを使用して強力なパスワードを実装する方法について詳しく説明します。 ただし、最初に、強力なパスワード セキュリティのいくつかの重要な要素について説明します。

WordPress パスワード セキュリティ ガイドライン: チェックリスト

次に、ユーザーが従う必要があり、実装する必要がある主要なパスワード セキュリティ ガイドラインのいくつかについて説明します。 少し注意して考えれば、すべてのユーザーが強力な資格情報を持つために多くの要素は必要ないため、これは短いチェックリストです。

適用できる最も基本的な要素の 1 つから始めます。

1.パスワードが長くて強力であることを確認してください

強力なパスワードの選択に関する議論の多くは、多様性とランダムな要素に価値を置いています。 たとえば、ランダムに生成するパスワードでは、特殊文字が重要になる場合があります。

オンライン ツールを使用して新しいパスワードを生成します。
オンライン ツールを使用して新しいパスワードを生成します。

ただし、これと同じ哲学を採用して間違った方法で実装すると、パスワードの選択が不十分になる可能性があります。

パスワードの文字を特殊文字に置き換えて、脆弱なパスワードにする。
パスワードの文字を特殊文字に置き換えて、脆弱なパスワードにする。

代わりに、パスワードの長さは文字の多様性よりもその強度にとって重要であることがわかっています. この哲学は、XKCD のこのパスワード漫画など、人気のあるメディアにも取り入れられています。

特殊文字を使用するよりもパスワードの長さが重要であることを示す XKCD 漫画。
特殊文字を使用するよりもパスワードの長さが重要であることを示す XKCD 漫画。

ただし、特殊文字と数字も実装することをお勧めします。 結局のところ、長さと多様性の両方を組み合わせると、さらに強力なパスワードになります。

2. パスワード マネージャーを使用して資格情報を保存する

長いパスワードを使用することの 1 つの欠点は、覚えにくいということです。これが、一般的なアドバイスで文字の組み合わせを使用するように勧められることが多い理由です。 以前は、パスワードを作成、保存、および呼び出すためのツールがありませんでした。 ただし、最新のテクノロジーには、選択できるパスワード マネージャー アプリが多数あります。

1Password アプリのロゴ。

最も人気のある選択肢には、1Password や LastPass などがあります。 現在、ほとんどのブラウザーには、パスワードを作成して保存する機能も含まれています。 実際、Google Chrome、Apple Safari、Mozilla Firefox の 3 つの主要なプレーヤーはすべて、ユーザーがパスワードを保存するのに役立ちます。 ただし、これは最適なセキュリティにとっては良い考えではありません。

Brave ブラウザーのパスワード マネージャー ツール。
Brave ブラウザーのパスワード マネージャー ツール。

多くの場合、これらのブラウザーには、サードパーティのアプリと統合するための拡張機能もあります。 まず第一に、潜在的なブラウザの脆弱性からパスワード データを遠ざけます。 さらに、セキュリティがさらに強化されます。

ほとんどのサードパーティのパスワード マネージャーは、データの暗号化と 2 要素認証 (2FA) を提供します。さらに、ブラウザーよりも優れた生活の質の機能を利用できます。 たとえば、ほとんどのパスワード マネージャーは資格情報を監視し、侵害されているかどうかを通知します。

3. パスワードを定期的に更新する

パスワードの更新は、パスワード セキュリティのほとんど交渉不可能な要素です。 結局のところ、100 パーセント安全なパスワードは存在しません。つまり、パスワードがどんなに短いものであっても、クラックされて Web 上に漏洩する可能性があるということです。

このため、すべてのログインのパスワードを変更することは、WordPress サイトのユーザーが漏洩またはクラックされたパスワードが無効であることを確認するために必要な手順です。 次のいずれかのシナリオでは、パスワードをすぐに変更することをお勧めします。

  • WordPress サイトまたはアカウントがハッキング、違反、またはサーバー上でマルウェアを発見した場合。
  • 会社全体のデータ侵害は、ユーザーにパスワードの変更を求める時期でもあります。 影響を受けるアカウントのみに集中することもできますが、念のため、すべてのユーザーにパスワードを変更するよう依頼することをお勧めします。
  • ネットワークから誰かを削除することを選択した場合は、少なくともそのアカウントのパスワードを変更することをお勧めします。 すべてを確定したら、ユーザー アカウントを完全に削除できます。

また、特定の状況に基づいてパスワードを変更する必要がある場合もあります。 たとえば、多くの公衆 Wi-Fi コンセントは、Web を閲覧するためのセキュリティで保護されていないネットワークのみを提供します。 機密情報を扱う場合、このような状況でデータを保護するための法的要件に違反する可能性があります。 このため、また公共の Wi-Fi を使用することは良い習慣ではありません。セキュリティで保護されていないネットワークを使用する必要がある場合は、常にパスワードを変更する必要があります。

WordPress ウェブサイトに強力なパスワードを実装する最良の方法

WordPress 独自のパスワード セキュリティ機能は、ユーザーを保護するための基本的な方法として優れていますが、欠点もあります。 代わりに、WordPress プラグインはギャップを埋め、強力なパスワード ポリシーとセキュリティを実装するために必要な便利な機能を追加できます.

WordPress セキュリティ プラグインはどの Web サイトにも不可欠ですが、WordPress パスワード セキュリティの実装に必要なものがすべて含まれているとは限りません。 これが、現在のセキュリティ対策に WPassword を追加するのに適している理由です。

WPassword プラグイン。

WPassword をインストールして有効にすると、WordPress ダッシュボードでプラグインを簡単に見つけることができます。 [WPassword] > [パスワード ポリシー]画面では、最初のタスクとしてコア ポリシー機能をオンに切り替えます。 これを行うと、オプションのホスト全体が表示されます。

WPassword プラグイン内でのパスワード ポリシーの切り替え。
WPassword プラグイン内でのパスワード ポリシーの切り替え。

パスワード ポリシー エディターは強力で、サイトに強力なパスワードを適用するために必要なすべての機能が含まれています。

  • パスワードの最小長を指定し、パスワードに数字、大文字と小文字、特殊文字、さらには特定の文字をブロックする必要があるかどうかを決定できます。
  • 独自のニーズと要望に基づいてパスワードの有効期限を実装するための簡単なフィールドがあります。 ワンクリックでパスワードを一括リセットする機能もあります。
  • 非アクティブなユーザーに時間枠を設定することもでき、その時点で自動的にロックされます.

WPassword には、WordPress のパスワード セキュリティ ポリシーの実装に役立つその他の機能も含まれています。 たとえば、古いパスワードの使用を許可しないように選択できます。 さらに良いことに、これらの各オプションの構成には、コードを必要とせずに、チェックボックスとドロップダウン メニューのデフォルトの WordPress インターフェースが使用されます。

まとめ

WordPress サイトのユーザーが強力なパスワードを使用していない場合、当然のことながら、セキュリティ侵害の危険にさらされる可能性があります。 これは取り返しのつかない影響を与える可能性があります。 そのため、WPassword を使用して専用のパスワード ポリシーをカスタマイズする必要があります。

プラグインを使用すると、強力なパスワード ポリシーを作成し、それを適用することもできます. ユーザーは何もする必要はありませんが、WordPress サイトのセキュリティが以前よりもはるかに強力になります。

サイトに WordPress セキュリティ ガイドラインを実装する方法について質問がありますか? 以下のコメントセクションで質問してください!