WordPress全体のセキュリティ対策をするには、まずWordPressのログインセキュリティを強化する必要があります。この記事では、WordPressのログインを強化しセキュリティ向上させるための5つの簡単なルールについて説明します。

WordPressログインURLは、すべてのWordPressサイトが同じであり潜在的に脆弱な部分となっているため、WordPressログインを攻撃者から守る効果的なセキュリティ戦略が必要となります。

security for wordpress

1.強力なパスワードを使用する

WordPressのログインセキュリティ

reCAPTCHAの導入 株式会社FORTUNA

WordPressのログインパスワードを「覚えやすさ、誕生日」などハッキングされやすいものを使用してはいけません。では

強力なパスワードにするには、どうのような方法がよいのでしょうか。
それは「パスワードの長さ」です。

以下は、4コアi5プロセッサーを使用してWordPressパスワードをクラックするのにかかる推定時間を示しています。

  • 7文字がクラックするには.29ミリ秒かかります
  • 8文字が割れるのに5時間かかります
  • 9文字が割れるまで4ヶ月かかります
  • 10文字はクラックするのに10年かかります
  • 12文字がクラックするのに2世紀かかるでしょう

ご覧のとおり、パスワードに1文字を追加すると、ログインのセキュリティが大幅に向上します。さらに文字をランダム化すると、予測可能性が低下し、パスワードの強度が高まります。

ランダムパスワードを一括生成 | すぐに使える便利なWEBツールようなパスワードマネージャを使用すると、パスワードを簡単に生成して安全に保存できます。

2.アカウントごとに異なるパスワードを使用する

WordPressのログインセキュリティ

常時SSL化のメリット 株式会社フォチューナ

WordPressを管理するユーザーには、5つの権限種類があります。

  • 管理者:WordPress の全ての操作が可能
  • 編集者:コメントやリンクの管理などコンテンツに関する全ての操作が可能
  • 投稿者:記事の投稿や編集、公開が可能
  • 寄稿者:記事の下書きと編集のみ可能
  • 購読者:閲覧のみ可能。会員制サイトを作りたい時などに使う可能性がある

WordPressは、上記の5つから選ぶことができ、与えたユーザー権限によって更新(運用作業)できる範囲を管理者が決めることができます。
店舗や支店が多いWEBサイトやビジネスタイプの場合があります。A店はAユーザーが更新する、B店はBユーザーが更新するなどユーザーが増えていくことがあります。ユーザーが多く存在する際に気をつけなければいけないポイントがあります。それは

共通したパスワードをすべてのユーザーが同じく使用しないことです。(再利用)

各ユーザーはそれぞれ違うパスワードでWordPressにログインすることが重要です。

3. ログイン試行回数を制限する

WordPressのログインセキュリティ

wordpressログインセキュリティ

WordPress機能には、ユーザー名とパスワードの入力間違いをした場合、再度ログインするのに一定時間アクセスできないなどのセキュリティ制限するという標準機能がありません。
ユーザー本人であればいいのですが、もしそれがクラックする攻撃者の場合それは非常に危険です。
攻撃者が制限なしに何度も試行でき、成功するまで無限の数のユーザー名とパスワードを試し続けることができるからです。

Limit Login AttemptsiThemes Security ProなどのWordPressセキュリティプラグインをインストールして、ログイン試行の失敗回数を制限することで、WordPressログインセキュリティを強化しましょう。

4. リクエストごとの外部認証試行を制限する

WordPressのログインセキュリティ

wordpress ログインセキュリティ

WordPressのログイン画面やダッシュボードにログインする人、会社(場所)を決め、それ以外からアクセスできないようにしましょう。

例えば、自身のスマホや自宅PCからサイトを更新するといったことはセキュリティ上、安全度が高いとは言えないので運用上 避けた方が良いでしょう。
アクセスを許可する国内IPアドレス(社内/更新を依頼する会社など)を、サーバーへ登録しアクセス制限を行うことで、さらにログインセキュリティを強化できます。

5. 二要素認証を使用する

WordPressのログインセキュリティ

wordpress ログインセキュリティ

二段階認証とは、ログインなどの認証時に2つの要素による認証を行うこと。このことにより悪意のあるハッカー等による不正なログインを防ぐことができます。

一般的にはプラグインで二段階認を実装します。有名なプラグインとしてはGoogle Authenticatorプラグインの使い方Two-Factor – WordPress プラグインなどがあります。


まとめ

WordPressのログインセキュリティ

WordPressのログインセキュリティは、すべてのサイトで最優先事項です。
ほんのわずかな手間で、攻撃者からWordPressアカウントを守ることが出来、ログインセキュリティを大幅に強化することが可能です。

上記のWordPressのログインセキュリティを強化する5つの方法は、非常に効果的です。
ぜひセキュリティ戦略に役立ててください。

フォチューナでは、Webサイトの運用や管理をフォローする専用の運用チームがいます。
WordPressのテクニカル支援から更新業務まで一貫してサポートが可能です。

ぜひお気軽にご相談ください。