強力なパスワードポリシーがWordPressWebサイトにとって非常に重要である理由

公開: 2020-09-10

しばらくの間WordPressサイトを管理しているなら、なぜ強力なパスワードポリシーがそれほど重要なのか疑問に思うかもしれません。 確かに、ユーザーは強力なパスワードを使用する必要があることを認識していますか? 残念ながら、多くのユーザーが故意に弱いパスワードを使用しているため、WordPressサイトが危険にさらされています。

これが引き続き発生する理由はさまざまです。 複雑なパスワードを覚えておく必要がない人もいます。 他の人は複数のサイトで同じパスワードを再利用したいと思っています。 いずれにせよ、強力なパスワードポリシーを適用することで、password123などのユーザーの不適切なパスワード選択からユーザーを保護します。

この投稿では、パスワードのセキュリティが非常に重要である理由と、すべてのユーザーが数回クリックするだけで強力なパスワードを選択できるようにする方法について説明します。 ただし、最初に、パスワードマネージャーを使用して、すべてのユーザーが強力なパスワードを選択することを保証する方法を調べてみましょう。

パスワードマネージャーを使用する必要がある理由

Webサイトユーザーの75%弱が、パスワードを覚えるのに苦労しています。 これにより、複数のサイトでパスワードを再利用したり、危険にさらされる可能性のある機密パスワードをオンラインファイルに保存したりするなどの危険な動作が発生します。 多くのWordPress管理者が強力なパスワードポリシーを適用できないのは、この正確な理由によるものです。 彼らは、複雑なパスワードを覚えることを余儀なくされた場合、ユーザーが延期されるのではないかと心配しています。

ただし、ユーザーが自分のパスワードを覚えているかどうかは関係ありません。 パスワードマネージャーを使用すると、非常に強力で、推測が難しく、個別のパスワードを覚えなくても使用できます。

パスワードマネージャーとは何ですか?

パスワードマネージャーは、さまざまなオンラインアカウントの資格情報を安全に保存するソフトウェアまたはオンラインサービスです。 パスワードマネージャー内のすべての情報は、1つのマスターパスワードで保護されています。 多くはまた、二要素認証を容易にし、それをさらに安全にします。

パスワードマネージャーの使用を促進することにより、WordPressユーザーは1つのマスターパスワードを覚えるだけで済みます。 したがって、彼らがあなたの厳格なパスワードポリシーに準拠することがはるかに簡単になります。 1PasswordまたはKeePassのどちらかを定期的に使用するため、どちらかをお勧めします。

強力なパスワードポリシー(およびパスワードセキュリティ)とは何ですか?

強力なパスワードポリシーを実装するには、複数の手順が必要です。 多くのWordPress管理者は、WordPress独自のパスワードセキュリティメーターだけに頼ることができると信じています。 WordPressで強力なパスワードを強制する方法で説明されているように、ユーザーに強力なパスワードの使用を推奨するだけで、強制することはないため、これは機能しません。 また、単純な最小パスワード長ポリシーだけでは、セキュリティ違反を防ぐのに十分ではありません。

パスワードの長さは重要な要素ですが、 次の追加のパスワードポリシーを伴う必要があります。

  • 大文字と小文字
  • 数字
  • 特殊文字
  • 定期的に変更する
  • 古いパスワードの再利用をブロックする

パスワードポリシーへのアプローチは多面的である必要があります。 そうしないと、パスワードはWordPressサイトの侵害の可能性を根絶するのに十分なほど強力ではありません。

強力なパスワードポリシーが非常に重要なのはなぜですか?

強力なパスワードポリシーを実装することは、さまざまな攻撃から保護するため、非常に重要です。 自動化されたパスワード推測ボットは洗練されてきました。 ハッカーがWordPressアカウントに関連付けられた電子メールを見つけることができた場合、ハッカーはこのソフトウェアを使用して、アカウントにブルートフォース攻撃を仕掛けることができます。

辞書攻撃は、ユーザーのアカウントへのブルートフォース攻撃に使用される最も一般的な手法の1つです。 これは、辞書内の単語や過去のセキュリティ違反から取得した以前に使用されたパスワードなど、数千または数百万の可能性を試すことで機能します。 そのため、英数字のパスワードが不可欠です。 辞書の単語の文字列は、数ミリ秒以内に解読される可能性があります。 10文字を超えるパスワードを持っていても十分ではありません。

強力なパスワードポリシーは、手動のハッキングの試みからWebサイトを保護します。 これは、サイバー犯罪者が個人情報(ユーザーの生年月日や住所など)を取得したシナリオであり、不注意なユーザーによって設定された弱いパスワードの一部を形成することがよくあります。

強力なパスワードの品質は何ですか?

自動パスワードジェネレータを使用する場合でも、独自のパスワードジェネレータを作成する場合でも、WordPressパスワードを可能な限り安全にするために何に焦点を当てる必要があるかを正確に知ることは有用です。

パスワードが長いほど強力です

あなたが焦点を当てるべき最初の項目は長さです。 ほとんどの場合、パスワードが長いほど強力です。 最新のテクノロジーでは、わずか.29ミリ秒で文字のみの7文字のパスワードを推測できます。 10文字のパスワードは4か月かかります。 それを最大12文字までブーストすると、突然パスワードが解読されるまでに2世紀かかります。 いくつかの余分な文字の悪いリターンではありません。

すべてのパスワードは英数字である必要があります

次に、さらに複雑なレイヤーを追加するために、アルファベット文字と数字の両方を含めるようにしてください。 「 123456789」のパスワードは、1秒間に数百回解読される可能性があります。 しかし、前面に文字Aを追加して「 A23456789」を作成することにより、ブルートフォース技術に対する数十年の保護を楽しむことができます。

常に特殊文字を含める

次に、複雑さをさらに高めるために、大文字と小文字だけでなく、特殊文字も含めるようにしてください。 「パスワード」はミリ秒単位で解読される可能性があります。 しかし、「 P @ ssw0rD」は14年かかります。

数か月ごとにパスワードを変更する必要があります

パスワードの解読に関連する技術は、ますます急速に進歩しています。 したがって、パスワードを残しておく時間が長いほど、パスワードは脆弱になります。 したがって、定期的に変更することが不可欠です。 また、他のサイトのセキュリティ侵害から古いパスワード情報が収集された場合に、悪意のある乗っ取りからアカウントを保護します。

弱いパスワードを持つことの危険性は何ですか?

運営しているWordPressサイトの種類によっては、パスワードが弱い場合に多くのリスクが発生する可能性があります。 たとえば、eコマースストアを運営している場合、パスワードが安全でない場合、ユーザーは支払い情報を危険にさらす可能性があります。

それだけでなく、ハッカーは買い物客のアカウントにアクセスし、さまざまなカードの詳細の情報を収集するためにWebサイトにコードを配置し始める可能性があります。 その後、サイバー犯罪者はその情報をダークウェブで販売します。 この種のデータ侵害を主宰していることが判明した場合、顧客はサイトのセキュリティに対する信頼を失うことになります。 さらに悪いことに、国の規制機関からの多額の罰金の間違った端にいることに気付く可能性があります。

他の意図を念頭に置いている人(ハクティビストなど)は、政治的なスローガンや人種差別的な虐待でサイトを改ざんすることを選択する可能性があります。 もう一度、あなたの訪問者の信頼を揺るがし、あなたの会社の評判を汚します。

弱いパスワードはデータ侵害の主な原因です

最先端のハッキングソフトウェアは、数秒で100億のパスワードの組み合わせを推測できることを忘れないでください。 弱いパスワードは、上記のシナリオの原因となることがよくあります。 Verizonによる2016年の調査によると、確認されたデータ侵害の63%は、弱いパスワード、デフォルトのパスワード、または盗まれたパスワードの使用に関係しています。 Bitglassが実施した調査によると、2006年以降のすべての金融サービス業界の違反の25%は、デバイスの紛失または盗難(およびデバイスからのパスワードの盗難)が原因である可能性があります。

これらの両方のケースは、弱いパスワードと定期的なパスワード変更を強制しないパスワードポリシーの両方に関連する危険性を完全に示しています。 そのため、強力なパスワードポリシーを管理することが非常に重要です。

しかし、WordPressサイトでその結果をどのように達成できるのか疑問に思われるかもしれません。 幸いなことに、わずか数分で弱いパスワードからWebサイトを保護できる使いやすいプラグインがあります。

WPasswordを使用して独自の強力なパスワードポリシーを設定する方法

WordPressは弱いパスワードの使用についてユーザーに警告しますが、それでもユーザーはそうすることができます。 彼らがしなければならないのは、彼らが安全でないパスワードを設定しようとしていることを認めることだけです。 したがって、強力なパスワードポリシーを適用する唯一のオプションは、パスワードセキュリティプラグインを使用することです。

WPasswordプラグインを使用すると、次のような強力なパスワードポリシーを適用できます。

  • パスワードの最小の長さ
  • 大文字と小文字の両方の必須の使用
  • 数字を使用するための要件
  • 特殊文字の強制使用
  • そしてはるかに(詳細については完全なプラグイン機能リストを読んでください)

開始するには、WPasswordをダウンロードしてインストールするだけです。 次に、WordPressダッシュボード内にある設定メニューの[パスワードポリシー]ノードに移動します。

WPasswordの使用方法

ここでは、Webサイトのパスワードポリシーを構成し、ユーザーに強力なWordPressパスワードの使用を強制できます。 上記のようにパスワードを管理するルールを規定し、パスワードの有効期限ポリシーを実装することができます。 このポリシーにより、ユーザーは頻繁にパスワードを変更し、古いパスワードの再利用を控えることができます。

WPasswordを使用すると、WordPress管理者は次のことができます。

  • 特定のユーザーまたは役割をパスワードポリシーから免除する
  • パスワードの有効期限が切れたときにユーザーセッションを終了するタイミングを指定します
  • マウスを1回クリックするだけですべてのパスワードをリセットできます

WordPressがハッキングされた場合、その最後の機能は、すべてのユーザーをぶつけてパスワードをリセットするように依頼することで、ユーザーアカウントの制御を取り戻すのに役立ちます。

最後に、このプラグインの設定で、非アクティブなWordPressユーザーポリシーを使用して非アクティブなアカウントを無効にすることを選択することもできます。 非アクティブなアカウントは、強力なパスワードポリシーを適用する前に設定された可能性があるため、特に脆弱です。 ハッカーはまさにこの理由で彼らを標的にしています。 したがって、非アクティブなユーザーをロックアウトして、悪意のある侵入者がこれらのアカウントを乗っ取るのをブロックしてください。

強力なパスワードポリシーの設定を開始します

うまくいけば、WordPressWebサイトのセキュリティにとって強力なパスワードポリシーが非常に重要である理由を十分に理解する必要があります。 自動化されたハッキン​​グソフトウェアは、弱いパスワードを簡単に解読する可能性があり、ユーザーアカウントの侵害の結果は壊滅的なものになる可能性があります。

したがって、次のことができるようにWPasswordプラグインを使用することは理にかなっています。

  • ユーザーに強力なパスワードを適用する
  • パスワードに有効期限を添付する
  • 休止状態のユーザーをロックアウトする
  • 特定のユーザーロールを免除する
  • ワンクリックですべてのパスワードをリセット

開始するには、 WPasswordをダウンロードしてください。

ボーナスのヒント:WordPress認証をさらに強化するために2FAを追加

二要素認証をインストールして、WordPress用のWP2FAプラグインを使用してWebサイトを侵入できないようにします。

二要素認証を実装することにより、ユーザーに別のパスワード、別のデバイス、または生体情報の一部で自分自身を識別するように依頼します。 したがって、この追加のセキュリティレイヤーは、ハッカーが正しいユーザー名とパスワードの組み合わせを持っている場合でも、ユーザーアカウントを保護できます。