WordPressログインセキュリティを強化する5つのルール

WordPressのログインパスワードを「覚えやすさ、誕生日」などハッキングされやすいものを使用してはいけません。では

強力なパスワードにするには、どうのような方法がよいのでしょうか。
それは「パスワードの長さ」です。

以下は、4コアi5プロセッサーを使用してWordPressパスワードをクラックするのにかかる推定時間を示しています。

• 7文字がクラックするには.29ミリ秒かかります
• 8文字が割れるのに5時間かかります
• 9文字が割れるまで4ヶ月かかります
• 10文字はクラックするのに10年かかります
• 12文字がクラックするのに2世紀かかるでしょう

ご覧のとおり、パスワードに1文字を追加すると、ログインのセキュリティが大幅に向上します。さらに文字をランダム化すると、予測可能性が低下し、パスワードの強度が高まります。

ランダムパスワードを一括生成 | すぐに使える便利なWEBツールようなパスワードマネージャを使用すると、パスワードを簡単に生成して安全に保存できます。

WordPressを管理するユーザーには、５つの権限種類があります。

• 管理者：WordPress の全ての操作が可能
• 編集者：コメントやリンクの管理などコンテンツに関する全ての操作が可能
• 投稿者：記事の投稿や編集、公開が可能
• 寄稿者：記事の下書きと編集のみ可能
• 購読者：閲覧のみ可能。会員制サイトを作りたい時などに使う可能性がある

WordPressは、上記の５つから選ぶことができ、与えたユーザー権限によって更新（運用作業）できる範囲を管理者が決めることができます。
店舗や支店が多いWEBサイトやビジネスタイプの場合があります。A店はAユーザーが更新する、B店はBユーザーが更新するなどユーザーが増えていくことがあります。ユーザーが多く存在する際に気をつけなければいけないポイントがあります。それは

共通したパスワードをすべてのユーザーが同じく使用しないことです。（再利用）

各ユーザーはそれぞれ違うパスワードでWordPressにログインすることが重要です。

WordPress機能には、ユーザー名とパスワードの入力間違いをした場合、再度ログインするのに一定時間アクセスできないなどのセキュリティ制限するという標準機能がありません。
ユーザー本人であればいいのですが、もしそれがクラックする攻撃者の場合それは非常に危険です。
攻撃者が制限なしに何度も試行でき、成功するまで無限の数のユーザー名とパスワードを試し続けることができるからです。

Limit Login AttemptsやiThemes Security ProなどのWordPressセキュリティプラグインをインストールして、ログイン試行の失敗回数を制限することで、WordPressログインセキュリティを強化しましょう。

WordPressのログイン画面やダッシュボードにログインする人、会社（場所）を決め、それ以外からアクセスできないようにしましょう。

例えば、自身のスマホや自宅PCからサイトを更新するといったことはセキュリティ上、安全度が高いとは言えないので運用上 避けた方が良いでしょう。
アクセスを許可する国内IPアドレス（社内／更新を依頼する会社など）を、サーバーへ登録しアクセス制限を行うことで、さらにログインセキュリティを強化できます。

二段階認証とは、ログインなどの認証時に2つの要素による認証を行うこと。このことにより悪意のあるハッカー等による不正なログインを防ぐことができます。

一般的にはプラグインで二段階認を実装します。有名なプラグインとしてはGoogle Authenticatorプラグインの使い方やTwo-Factor – WordPress プラグインなどがあります。

WordPressのログインセキュリティは、すべてのサイトで最優先事項です。
ほんのわずかな手間で、攻撃者からWordPressアカウントを守ることが出来、ログインセキュリティを大幅に強化することが可能です。
上記のWordPressのログインセキュリティを強化する５つの方法は、非常に効果的です。
ぜひセキュリティ戦略に役立ててください。