WordPressログイン セキュリティレベルを上げる5つのルール

WordPressのログインパスワードを「覚えやすさ、誕生日」などハッキングされやすいものを使用してはいけません。では強力なパスワードにするには、どうのような方法がよいのでしょうか。

それは「パスワードの長さ」です。

以下は、4コアi5プロセッサーを使用してWordPressパスワードをクラックするのにかかる推定時間を示しています。

• 7文字がクラックするには.29ミリ秒かかります
• 8文字が割れるのに5時間かかります
• 9文字が割れるまで4ヶ月かかります
• 10文字はクラックするのに10年かかります
• 12文字がクラックするのに2世紀かかるでしょう

上記のとおり、パスワード半角英数字と記号を混ぜて複雑にするほど、ログインのセキュリティが大幅に向上します。さらに文字をランダム化すると、予測可能性が低下し、パスワードの強度が高まります。

ランダムパスワードを一括生成 | すぐに使える便利なWEBツールようなパスワードマネージャを使用すると、パスワードを簡単に生成して安全に保存できます。

WordPressを管理するユーザーには、５つの権限種類があります。

• 管理者：WordPress の全ての操作が可能
• 編集者：コメントやリンクの管理などコンテンツに関する全ての操作が可能
• 投稿者：記事の投稿や編集、公開が可能
• 寄稿者：記事の下書きと編集のみ可能
• 購読者：閲覧のみ可能。会員制サイトを作りたい時などに使う可能性がある

WordPressは、上記の５つから選ぶことができ、与えたユーザー権限によって更新（運用作業）できる範囲を管理者が決めることができます。たとえば、店舗や支店が多いWEBサイトやビジネスの場合は、A店をAユーザーが更新する、B店をBユーザーが更新するなど、ユーザーごとにIDを発行し、更新操作する権限を付与して個別に管理するようにしましょう。ただ、複数ユーザーが存在する際に、共通したパスワードをすべてのユーザーが同じく使用しない（または再利用）ように、気をつけなければいけません。

各ユーザーはそれぞれ違うパスワードでWordPressにログインすることが重要です。

WordPress標準機能には、ユーザーがログインする時に何回か入力間違いをした場合、ロックやアクセス制限をするセキュリティはありません。ユーザー本人であればいいのですが、もしそれが悪意のある攻撃者の場合、それは非常に危険です。攻撃者が制限なしに何度も試行でき、成功するまで無限の数のユーザー名とパスワードを試し続けることができるからです。

アクセスを制御するプラグインを導入すれば解決できます。Limit Login AttemptsやiThemes Security ProなどのWordPressセキュリティプラグインをインストールすれば、ログイン試行の失敗回数を制限したり、ログインURLを変更することも可能なため、WordPressログインセキュリティを強化できます。

ログインページが不正なIPアドレスからのアクセスやブルートフォース攻撃から保護する必要があります。URLロックダウンを有効にすることで 許可されたIPアドレスのみアクセスが可能になります。登録は、以下の３つの方法があります。

– .htaccessに許可IPを記載する –
サーバーにアップロードするhtaccessファイルに「特定アクセスを拒否」する設定の場合は、「allow from all」の後に許可するIPアドレスを指定し記述します。このルールを使用して、/wp-adminなどの他の認証済みURLを制限することもできます。

– IPを制限できるセキュリティプラグインを導入する –
htaccess同様に制御が可能です。さらにブラックリストと呼ばれる機能があるため、ログインページのURLにブロックリストに追加すれば、セキュリティ強化にも繋がります。

– レンタルサーバ会社の管理画面で制御する –
契約したサーバー会社の管理画面にアクセスして、IP登録を行います。ただし制御できる機能が必ずあるわけではないので、事前に確認が必要です。

上記の３つの方法が存在しますが、管理しやすさ・柔軟性・セキィリティレベルを考慮して選択することが重要です。

WordPressのログインセキュリティは、すべてのサイトで最優先事項です。
ほんのわずかな手間で、攻撃者からWordPressアカウントを守ることが出来、ログインセキュリティを大幅に強化することが可能です。
上記のWordPressのログインセキュリティを強化する５つの方法は、非常に効果的です。
ぜひセキュリティ戦略に役立ててください。