iThemes Security Pro機能スポットライト–パスワード要件

Feature Spotlightの投稿では、iThemes Security Proの機能に焦点を当て、その機能を開発した理由、その機能の対象者、およびその機能の使用方法について少し説明します。

今日は、WordPressログインを保護するための優れたツールであるiThemes SecurityProのパスワード要件機能にスポットライトを当てています。

パスワード要件を作成した理由

私たちは、人々にセキュリティのベストプラクティスに従うようにすることがどれほど難しいかを知っています。 強力なパスワードは、WordPressのログインセキュリティの重要な部分です。 あなたのウェブサイトを危険にさらす可能性のある一般的なパスワードの落とし穴のいくつかについて話しましょう。

1.弱いパスワードはまだ一般的すぎます。

Splash Dataによって編集されたリストでは、すべてのデータダンプに含まれる最も一般的なパスワードは123456でした。データダンプは、インターネット上のどこかにダンプされたユーザーパスワードで満たされたハッキン​​グされたデータベースです。 123456がデータダンプで最も一般的なパスワードである場合、Webサイトで弱いパスワードを使用している人の数を想像できますか？

2. WordPressログインは、Webサイトで最も攻撃されている部分です。

WordPressログインは、WordPress Webサイトで最も攻撃されている部分であり、弱いパスワードを使用することは、テープで玄関のドアをロックしようとするようなものです。 デフォルトでは、WordPressのログインURLはすべてのWordPressサイトで同じであり、アクセスするために特別な権限は必要ありません。 そのため、WordPressのログインページは、WordPressサイトの中で最も攻撃されており、潜在的に脆弱です。

3.8文字のパスワードは即座に解読される可能性があります。

ハッカーが弱いパスワードを超えてWebサイトにブルートフォース攻撃を仕掛けるのにそれほど時間はかかりませんでした。 ハッカーが攻撃にコンピューターのグラフィックカードを利用している今、パスワードを解読するのにかかる時間はかつてないほど短くなっています。

たとえば、高性能のパスワードクラッキング会社であるTerahashによって作成されたグラフを見てみましょう。 彼らのチャートは、448x RTX2080のハッシュスタッククラスターを使用してパスワードを解読するのにかかる時間を示しています。

デフォルトでは、WordPressはMD5を使用してWPデータベースに保存されているユーザーパスワードをハッシュします。 したがって、このチャートによると、Terahashは8文字のパスワードを解読する可能性があります…ほぼ瞬時に。 それはとても印象的であるだけでなく、本当に怖いです。

4.侵害されたパスワードを再利用している人が多すぎます。

パスワードのセキュリティに関して覚えておくべきもう1つのことは、オンラインアカウントごとに異なる強力なパスワードが必要なことです。 すべてのサイトに同じパスワードを使用していて、それらのサイトの1つが侵害された場合、すべてのWebサイトで侵害されたパスワードを使用していることになります。 ハッカーは、侵害されたパスワードのデータダンプを使用して、電子メールアドレスまたはユーザー名と組み合わせてアカウントにアクセスできます。 リスクを冒さないことが最善です。

91％の人がパスワードの再利用は悪い習慣であることを知っていますが、59％の人はまだどこでもパスワードを再利用しています！ これらの人々の多くは、データベースダンプに表示されていることがわかっているパスワードをまだ使用しています。

ハッカーは、辞書攻撃と呼ばれるブルートフォース攻撃の形式を使用します。 辞書攻撃は、データベースダンプに表示される一般的に使用されるパスワードを使用してWordPressWebサイトに侵入する方法です。 MEGAでホストされた「コレクション＃1」のデータ侵害には、電子メールアドレスとパスワードの1,160,253,228の一意の組み合わせが含まれていました。 それはbで10億です。 この種のスコアは、辞書攻撃が最も一般的に使用されるWordPressパスワードを絞り込むのに本当に役立ちます。

ご覧のとおり、パスワードポリシーを持つことは、WordPressのセキュリティ戦略の重要な部分です。 パスワードポリシーがどれほど優れていても、管理者と編集者がガイドラインに従わない場合は何の価値もありません。

iThemes Security Proのパスワード要件は何ですか？

iThemes Security Proのパスワード要件機能は、パスワードポリシーであるだけでなく、施行ツールでもあります。 ユーザーグループのメンバーに強力なパスワードの使用を強制し、パスワードの有効期限を選択し、侵害されたパスワードを拒否し、サイト全体のパスワードを強制的に変更して、全員が新しい強力なパスワードポリシーに準拠するようにすることができます。

• 強力なパスワードの強制–一連のユーザーに強力なパスワードの使用を強制します。
• パスワードの有効期限–パスワードの有効期限が切れるまでに使用できる最大日数を設定します。
• 侵害されたパスワードを拒否する– Have I beenPwnedによって追跡されたパスワード違反に表示されていないパスワードの使用をユーザーに強制します。

Verizonのデータ漏えい調査レポートによると、従業員の70％以上が職場でパスワードを再利用しています。 しかし、レポートの最も重要な統計は、ハッキング関連の侵害の81％が、盗まれたパスワードまたは弱いパスワードのいずれかを利用したことです。 iThemes Security Proのパスワード要件は、この投稿に記載されているすべてのパスワードの落とし穴からWordPressログインを保護するのに役立ちます。

さらに、ボタンをクリックするだけでパスワードポリシーを適用できるという追加のボーナスが得られます。 人間として、私たちは最も抵抗の少ない道を進むように配線されています。 脆弱なパスワードや侵害されたパスワードを使用するオプションを削除することで、誰もが自分のアカウントを保護できるようになります。

iThemes SecurityProでパスワード要件を使用する方法

新しいパスワードポリシーの使用を開始するには、 [ユーザーグループ]設定に移動し、 [一緒に編集する複数のユーザーグループを選択する]チェックボックスをオンにします。

次に、パスワードポリシーを適用するユーザーグループを選択し、[パスワード要件]セクションのすべてのチェックボックスをオンにして、[保存]ボタンをクリックします。

パスワードの有効期限に関する簡単な注意点として、セキュリティコミュニティには、パスワードの有効期限ポリシーを放棄すべきだと考える人がいます。 彼らは、あなたがユニークで強力なパスワードを使用しているなら、その時間はあなたのパスワードを弱くすることはないと言います。

Webサイトのすべてのユーザーに対してこれを有効にすることをお勧めします。 新しい顧客アカウントの作成をできるだけ簡単にすることは完全に理解でき、奨励されています。 ただし、顧客は、使用しているパスワードがデータダンプで見つかったことを知らない場合があります。 使用しているパスワードが侵害されたという事実を顧客に警告することで、顧客にすばらしいサービスを提供することになります。 彼らがどこでもそのパスワードを使用しているなら、あなたは将来のいくつかの大きな頭痛から彼らを救うことができます。

最後に、セキュリティダッシュボードに移動し、[ユーザーセキュリティプロファイル]カードの[パスワードの変更を強制する]ボタンをクリックします。 これで、すべてのユーザーは、次にログインしたときに、新しいパスワードポリシーに準拠した新しいパスワードを作成する必要があります。

まとめ

あなたのWordPressログインはあなたのウェブサイトの最も攻撃された部分であり、強力なパスワードはあなたの最初の防衛線です。 iThemes Security Proのパスワード要件機能を使用すると、WordPressログインを保護および保護するためのパスワードポリシーを簡単に作成および適用できます。

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。