WordPress パスワード保護 – 完全ガイド

公開: 2022-08-02

これは、ビジネス Web サイトの管理者および所有者向けの WordPress パスワード保護に関する「究極の」または包括的なガイドです。 WordPress Web サイトの管理者または管理者向けに書かれています。

WordPress およびセキュリティ ソフトウェア ベンダーによると、ロールはさておき、次に脆弱で簡単に強化される WordPress ウェブサイト セキュリティはパスワードの使用です。 ログイン資格情報があれば、誰かがあなたの Web サイトや、WordPress ダッシュボードから利用できるすべての構成とデータにアクセスする可能性があります。 ログインしたユーザーは、あなたになりすましたり、アイテムを追加、修正、削除したり、ウェブサイトを改ざんしたり、ビジネスを台無しにしたりする可能性があります。

このブログ投稿では、組織全体で安全な WordPress パスワード保護を確立し、ユーザーにその使用法を教育するのに役立つ一連のベスト プラクティス ガイドラインを提供します。

目次

  • 強力なパスワード セキュリティ ポリシーを確立する
        • 強力なパスワードとはどのようなものですか?
        • WordPress ユーザーの役割とそのセキュリティへの影響
        • 適切な WordPress パスワード セキュリティ ツールとプラグインをインストールする
        • WordPress のパスワード保護の良い手本を示す
  • パスワードマネージャーを採用する
      • パスワードマネージャーを使用する利点
  • 二要素認証または多要素認証を有効にする
  • WordPress のパスワード保護についてユーザーを教育する
        • 報道価値のあるデータ侵害について話す
        • 強力なパスワード ポリシーを適用する
            • WordPress のパスワード セキュリティに関する管理者のアクティビティ
        • パスワード マネージャーを使用するストレス解消と時間節約の利点を強調する
        • 強力な WordPress パスワード セキュリティへの価値ある投資を強調する
  • その他の関連するセーフガードを確立する

強力なパスワード セキュリティ ポリシーを確立する

WordPress Web サイト管理者として、ユーザーに強力なパスワード ポリシーを適用する機会と責任があります。 そうすることで、組織、その Web サイト、データ、スタッフ、およびその他のユーザーをさまざまな攻撃から保護できます。

  • 企業とその内部従業員の場合、マーケティング担当者は WordPress Web サイトにアクセスして、Web サイトのページとブログ投稿を作成および編集する必要がありますが、他の従業員は、コメントのモデレートと応答のみにアクセスする必要があります。 一方、クライアント アカウント管理またはカスタマー サービスの従業員は、サポート チケットに対応するために、顧客アカウントへのさまざまなレベルのアクセスを必要とします。 この場合、ほとんどの内部スタッフ ユーザーは顧客アカウントにアクセスする必要はありませんが、一部のユーザーはアクセスする必要があります。 IT サポートで働いている人は、すべてではありませんが、顧客アカウントの一部の側面にアクセスする必要がある場合があります。
  • もう 1 つの視点、e コマース WordPress Web サイトの外部ユーザーの視点について考えてみましょう。 アカウントの管理、購入、配送や返品のステータスの追跡、またはカスタマー サポートへの連絡には、ログインが必要になる場合があります。 これらの同じユーザーには、たとえば、Web ページを作成または削除するためのアクセス権を付与したり、他の顧客の口座や財務の詳細を表示したりできないようにする必要があります。 場合によっては、e コマース Web サイトでは、顧客であるユーザーがアカウントを作成してログインする必要がまったくないことがあります。

なぜこのような配慮が必要なのでしょうか? ユーザーは、安全なパスワードを作成して使用する方法をまだ知っていませんか?

平均的なコンピューター ユーザーは、WordPress のパスワード保護や WordPress のパスワード セキュリティ全般について十分な教育を受けていません。 彼らは自分のオンライン データに対して怠惰な態度をとり、ログイン資格情報の管理にストレスを感じている可能性が高く (これについては後で説明します)、それらを付箋に書き留めてモニターに貼り付けます。

加えて:

  • パスワード推測ボットはますます巧妙化しています
  • 悪意のあるハッカーは依然として総当たり攻撃と辞書攻撃を使用しています

悪意のあるハッカーが、脆弱なパスワードの一部を形成する可能性のある本名などの個人情報をすでに持っていると、悪意のある活動がはるかに容易になります。

強力なパスワードとはどのようなものですか?

  • 長いパスワード– 原則として、パスワードが短いほど、ブルート フォース攻撃や辞書攻撃の影響を受けやすくなります。 現時点での最善のアドバイスは、パスワードを 16 文字以上の長さに設定し、スペースを許可することです。 一部のパスワード ジェネレーターでは、ユーザーが作成する安全なランダム パスワードの長さをカスタマイズできます。
  • 混合パスワード– 文字 (大文字と小文字の両方)、数字、および特殊文字のランダムな組み合わせを使用します。 これにより、辞書攻撃からパスワードが保護されます。 辞書の単語や文字または数字のパターンを避け、文字を数字に置き換えます (キーボード シーケンス (qwerty) を含む「a」の代わりに「@」、「O」の代わりに「0」)。
  • ランダムなパスワード– パスワードを自分に関係のないものにしてください。 自分の名前、またはペット、子供、その他の親戚の名前の一部を使用しないでください。 生年月日、住所、または悪意のあるハッカーが簡単に接続できるその他の公開情報は使用しないでください。 また、ニックネームなど、同僚や知人が推測できる情報は使用しないでください。
  • パスワードの変更– パスワードを定期的にリセットします (3 か月ごとをお勧めします)。これにより、総当たり攻撃が行われた場合に時計が再起動され、非倫理的なハッキング技術の進歩に先んじることができます。
  • 異なるパスワード– Web サイトごとに異なるパスワードを設定します。 そうすれば、1 つが侵害されても、他のものは安全です。 パスワードマネージャーを毎日使用して、それらを保存、更新、および使用します。
  • 保存されたパスワード– コンピューターがハッキングまたは盗難にあった場合に備えて、ブラウザーの構成、ラップトップ、または共有フォルダーを使用してパスワードを保存しないでください。 それがパスワード マネージャーの目的です。

WordPress ユーザーの役割とそのセキュリティへの影響

ロールの構成は、WordPress Web サイトのセキュリティに大きな影響を与えます。 原則として、WordPress のセキュリティは、Web サイトに含まれる、または交換される機密情報のレベルに正比例して向上する必要があります。

まず、管理者の役割を見てみましょう。

  • スーパー管理者– WordPress マルチサイト ネットワークを使用してマルチサイト所有者に割り当てられ、管理者ロールとまったく同じ権限が付与されます
  • 管理者– インストール時に Web サイトの所有者/作成者に自動的に割り当てられます。削除を含む Web サイトを完全に制御できます。テーマとプラグインのインストール、編集、削除が可能です。 アップグレードと更新を実行します。 ページとブログ投稿の作成、編集、削除。 他の管理者を含むユーザーの追加、編集、および削除。 メディアの追加、編集、削除

その他のすべてのユーザー ロールは、権限の範囲が小さい順にリストされています。

  • 編集者– 新しいページ、ブログ投稿、メディアを追加、編集、削除できます。 カテゴリとタグを作成します。 自分自身や他の人が書いたコンテンツを公開する。 およびモデレートコメント
  • 作成者– 自分のコンテンツのみを追加、編集、および公開できます。 メディアをアップロードします。 既存のカテゴリとタグをブログ投稿に割り当てる
  • 寄稿者– 自分のコンテンツのみを追加および編集できます。 既存のカテゴリとタグを自分のブログ投稿に割り当てる
  • サブスクライバー– 自分のユーザー プロファイルのみを更新できます。 他人のコンテンツを読む; コメントを追加する

最小権限の原則に従い、WordPress 内でタスクを委任する役割を設定するときは、Web サイト、その機能、およびユーザーをこのレベルで制御する必要がない限り、他の人 (スーパー) 管理者アクセスを許可しないでください。 読者はあなたのウェブサイト全体で「投稿者」(ユーザー名)を見ることができるため、管理者は追加の予防策として、自分用に追加の編集者ユーザーを設定し、実行する必要がある場合にのみ(スーパー)管理者アカウントでログインする必要があります。これらのより高いレベルのタスク。 これは、悪意のあるハッカーがブルート フォース攻撃を考えている場合に頼るべき情報がさらに少ないことを意味します。

詳細については、WordPress ユーザー ロールを使用して WordPress のセキュリティを向上させる方法を参照してください。

適切な WordPress パスワード セキュリティ ツールとプラグインをインストールする

ユーザーに強力な WordPress パスワードを強制する方法の 1 つは、WPassword プラグインを使用して次のことを行うことです。

  • WordPress ウェブサイトに数秒で強力なパスワードを適用します
  • ユーザーが強力なパスワードを思い付くのに役立つヒントを提供します (推測する必要はありません)。
  • パスワードの複雑さ、履歴、有効期限など、パスワード保護の重要な側面についてパスワード ポリシーを構成する
  • ユーザー ロールに基づいてパスワード ポリシーを構成し、カスタマイズされたスペシャリスト ロールに対応したり、特定のユーザーを特定のポリシーから除外したりします。
  • 攻撃が検出された場合、すべてのパスワードを直ちにリセットします
  • ポリシーが制定される前に設定された非アクティブなユーザー アカウントによって投稿された脅威を削除するために、休眠ユーザー ポリシーを実装します。

WordPress のパスワード保護の良い手本を示す

セキュリティで保護された資格情報を使用することをお勧めします。また、ユーザーにもそのようにすることをお勧めします。

  • 強力なパスワード (強力なパスワードとはどのようなものかを参照) と強力なユーザー名を組み合わせます。
  • 管理者として、admin、default、password、guest などの明白で脆弱なデフォルトのユーザー名を避ける
  • 悪意のある人物が簡単に認証情報を 1 つしか見つけられないようにしないでください

WordPress のパスワード セキュリティ対策に依存している場合は、プラグインを使用して強力なパスワードを適用する必要もあります。 WordPress には、組み込みまたはデフォルトの強力なパスワード強制がありません。

パスワードマネージャーを採用する

パスワード マネージャーは、複数の Web サイトやサービスにわたってユーザー資格情報を安全に保存および管理するオンライン サービスまたはソフトウェア クライアントです。 この情報には、単一のマスター パスワードと多要素認証のオプションを使用してアクセスします。 よくある例としては、1Password や KeePass などがあります。 しかし、多くのオンライン パスワード マネジャーがありますが、これは堅固なバックアップと信頼性に代わるものではありません.

パスワードマネージャーを使用する利点

  • 各 Web サイトのパスワードを覚えておく必要はありません。これは同時に、多くのオンライン サービスで同じ資格情報を使用する怠惰でクレイジーな慣行によって「解決」される、職場での最大の問題点の 1 つでもあります。
  • ログイン認証情報を、データ保護規則に違反するような書面で保存したり、侵害される可能性のあるオンライン ファイルに保存したりすることはありません。
  • これにより、ユーザーは複雑で異なるパスワードを使用できるようになります。 多くのパスワード マネージャーには、新しいレコードを即座に記録する便利で高速なブラウザー ポップアップの提案を備えた組み込みのパスワード ジェネレーターがあります。
  • アカウントや Web サイトを悪意のあるハッカーや自動化されたボットにさらすことはありません。
  • 多くの場合、パスワード マネージャーは電子メール アドレスを監視し、ダーク Web での出現を追跡してユーザーに警告します。 また、再利用されたパスワードや脆弱なパスワードを変更することを推奨する場合もあります。

二要素認証または多要素認証を有効にする」

2 要素または多要素認証は、従来のユーザー名とパスワードの組み合わせに加えて、ユーザーが Web サイトまたはアプリへのアクセスを許可される前に入力する必要がある資格情報の追加レイヤーです。 WordPress のセキュリティには多要素アプローチが最適であるため、誰かがすでに強力なパスワードを使用している場合に採用されます。 強力なパスワードとユーザー名の組み合わせが盗まれる可能性があります。 ワンタイム コードはアプリによって生成され、ユーザーの個人用デバイス、電子メール アカウント、または携帯電話に送信される電子メールまたは SMS によって受信され、悪意のあるハッカーが回避することはより困難です。

WordPress に最適な 2 要素認証プラグインの場所を主張するいくつかの代替手段があります。 これらをチェックしてください。 ただし、当社独自の製品である WP 2FA プラグインを強くお勧めします。 WordPress Web サイトの認証を改善するだけでなく、使いやすさとセットアップのシンプルさを念頭に置いて設計されています。 また、さまざまなユーザー ロールに対して完全に構成可能な 2FA ポリシーを使用して、2FA を必須にすることもできます。 WPassword と WP 2FA プラグインを組み合わせることで、WordPress Web サイトは非常に安全になります。

WordPress のパスワード保護についてユーザーを教育する

Web サイトのユーザーは、強力なパスワード セキュリティが必要であることを漠然と知っています。 しかし、彼らはしばしばそれについて何もしません。

では、具体的に何を教育する必要があるのでしょうか。

報道価値のあるデータ侵害について話す

脆弱なパスワードは、WordPress Web サイトのセキュリティに対する最大の脅威の 1 つです。 なんで? ブルート フォース攻撃や辞書攻撃で簡単に回避できる脆弱な認証情報が、ニュースでよく目にするデータ侵害の主な原因であるためです。 これに加えて、デフォルトのパスワードや盗まれたパスワード、または紛失したり盗まれたデバイスから盗まれたパスワードによってデータが失われたりすると、問題はさらに大きくなります。

悪意のあるハッカーや権限のないユーザーが Web サイトにアクセスすると、何ができるでしょうか?

  • 基本的なレベルでは、構成を変更したり、マルウェアを挿入したりできます
  • また、トラフィックを Web サイトからリダイレクトしたり、それを使用して海賊版ソフトウェアを配布したりする可能性もあります。
  • 最も深刻な攻撃では、機密データを盗んで悪用したり、偽の銀行手数料を作成したり、財務情報やその他の情報を収集してダーク Web で転売したりする可能性があります。
  • これらの商業活動以外にも、ハクティビストはヘイトスピーチであなたのウェブサイトを政治化したり改ざんしたりする可能性があります

社内スタッフのユーザーが、社内の企業情報や社外の顧客データに対する主要な組織全体の影響、および罰金や強制的な会社のストライキについて認識していることを確認してください。 また、ウェブサイトの顧客に同じメッセージを繰り返し伝え、個人、財務、健康、その他の機密データの安全性を優先させるようにします。

このようなデータ侵害が組織や Web サイトに与える可能性のある悪影響は、次のように甚大です。

  • 組織やウェブサイトに対する評判と信頼の喪失
  • 規制機関からの多額の罰金、およびパートナーやクライアントからのその他の罰則または解任

強力なパスワード ポリシーを適用する

  1. まず、「強力なパスワードとはどのようなものですか?」のすべての要素についてユーザーを教育します。 パスワード マネージャーを使用するメリットたとえば、 thisismypassword、123456789、 [mykidsname]、[mypetsname] などの永続的で非常に安全でないパスワード形式について知っていることを確認してください。 そして代わりに、強力なパスワード形式の使用を奨励します (例: vqO&V13@H%fFまたは@iGOuqk%W0xY )。 これらの特定の例を共有したり、サービスやユーザーに使用したりしないでください。 それらは単なる例です。
  2. 署名した雇用および/またはデータ保護ポリシー、および雇用主に対する個人的な法的責任について、内部スタッフに定期的に通知します。
  3. 会社が顧客やクライアントに対して行うデータ保護ポリシーと声明は、会社のポリシーに従っていることに依存していること、およびそれらが潜在的に重大かつ永続的な法的、財務、雇用、および法執行機関に影響を与える可能性があることを、内部スタッフに定期的に思い出させてください。
  4. パスワード生成ツールも備えたパスワード マネージャーを使用して、独自の安全なパスワードを作成するようユーザーに勧めます。 ほとんどのパスワード マネージャー ソフトウェアには独自のパスワード マネージャーもあります。これは、オンラインやその他のサービス用に新しいアカウントを作成するときに役立ちます。

WordPress のパスワード セキュリティに関する管理者のアクティビティ

  1. WPScan などのスキャナーを使用して、WordPress ユーザーのパスワードのパスワード強度を確認します。
  2. 悪意のあるハッカーが使用するツールを使用して、ユーザーのパスワードを「推測」しようとします。 ブルートフォースと辞書攻撃を自分でスケジュールしてください!
  3. 脆弱なパスワードを使用しているユーザーをロックアウトし、パスワードをリセットするようプロンプトを送信します。
  4. 選択したパスワード マネージャーの使用方法に関するワークショップを実施します。

パスワード マネージャーを使用するストレス解消と時間節約の利点を強調する

ユーザーの多くは、強力なパスワードの必要性を認識しているかもしれませんが、慣れていないことや、実際には困難またはコストがかかると認識されているため、パスワードを使用することに消極的です。 パスワード マネージャーを使用することの容易さと利点を、低コスト、信頼性、および資格情報のバックアップの保持の容易さとともに強化できるのは、この点です。

複数のパスワードを覚える必要がなく、1 つのパスワードを覚えるだけでよいというのは大きな利点です。

ユーザーの観点から、ハイライトは次のとおりです。

  • パスワードは 1 つだけ覚えればよいのです。
  • パスワード マネージャーは、新しいパスワード ジェネレーター、パスワード管理ツール、および安全な資格情報をオンサイトで入力するためのプロンプトとして機能します。

強力な WordPress パスワード セキュリティへの価値ある投資を強調する

私たちは事実に直面する必要があります。 強力なパスワードの使用や頻繁な変更を強いられると、一部の潜在的なユーザーは Web サイトへのサインアップをためらうでしょう。 これらの手順は、最初のセットアップに少し時間と労力がかかります。 煩わしいことだと考える人もいれば、Web サイトのユーザー エクスペリエンスが損なわれると不満を言う人もいます。

ユーザーの役割に基づいてパスワード ポリシーとセキュリティ レベルを区別するプラグインを使用して、強力な WordPress パスワード セキュリティ ポリシーを確立して実施することで、ユーザーの混乱を最小限に抑えることができます。

その他の関連するセーフガードを確立する

ウェブサイトの所有者または WordPress 管理者として、WordPress のパスワード セキュリティに関して考慮する必要がある、より大きな問題のいくつかの結論を以下に示します。

  • WordPress の一般的なセキュリティ強化および保護プロトコルについて理解しておいてください。 WordPress Web サイトがハッキングされる特定の理由があります。 管理者または所有者として、これらが何であるか、およびそれらを処理する方法を知っておくことは有益です。 はい、脆弱なパスワードは大きな問題であり、2FA やアクティビティ ログの欠如も同様です。 しかし、時代遅れの WordPress コア、プラグイン、その他のソフトウェアの使用も深刻な問題であることをご存知ですか?
  • 無許可のユーザーがあなたのアカウントにアクセスしたかどうか、もしそうなら、彼らがどのような損害を与えたかを知らせる WordPress アクティビティ ログ プラグインを採用します。 当社の WP アクティビティ ログは、疑わしい動作を初期段階で特定し、Web サイトに対する悪意のあるハッキング攻撃を防ぐのに役立ちます。
  • WordPress Web サイトの休眠ユーザーまたは非アクティブ ユーザー ポリシーを設定します。 無視されたユーザー アカウントは、悪意のあるハッカーにとって簡単なエントリ ポイントです。
  • 強力なパスワードを使用し、ユーザーに強力なパスワード ポリシーを適用している場合でも、Web サイトがハッキングされる可能性があります。 Web サイトが侵害されたかどうかをすぐに知ることができます。 これは、チェックアウトすることをお勧めする無料のデータ侵害通知サービスです。

WordPress のパスワード保護や、このブログ記事で取り上げた製品について質問はありますか? 以下でお知らせください! Chris Pirillo の言葉を思い出してください。

「パスワードは下着のようなものです。他人に見られないようにし、頻繁に変更し、見知らぬ人と共有してはなりません。」

WPassword の 7 日間試用版を入手して実際に使用し、Web サイト ユーザーが強力な WordPress パスワードを使用できるようにします