こんにちは、ウェブロードの山口です。
今回はWordPress保守管理時のセキュリティ確認事項16項目について、お話ししていきたいと思います。
この16項目は、弊社がお客様の保守管理をしているサイトについては普段から対応させていただいている内容です。
自社でWordPressを管理されている場合は、1つ1つきっちりできているかチェックしていただけると、WordPressのセキュリティに関して安心して頂けると思います。
ユーザー名とパスワードは初期設定のままにしない!
まずは、ユーザー名とパスワードを強固にするという対策が1番に挙げられます。
これは最も簡単にできて、なおかつこれをしておくことで、だいぶセキュリティの強度が上がりますので、面倒でも必ずやって欲しいと思います。
ここで注意をしておいて欲しいのが、自社サイトのWordPressのユーザー名が「admin」になったままではないか、ということです。
2013年とか2014年くらいまで(今から10年ちょっとぐらい前だと思います)が、この頃までWordPressをインストールすると、管理者のユーザー名は「admin」になっていました。
adminというのはadministratorという「管理者」という意味の英語の頭文字のようなものですが、この「admin」が自動的に付与されていました。
自動的に「admin」が付与されていて、それに対してパスワードを決めるという形なので、結局は「admin」をユーザー名としてそのまま使っている場合は、パスワードだけ漏洩すると他者にログインされてしまうという状態になってしまうんです。
昔のWordPressはユーザー名が「admin」と決められていたので、インストールされた初期状態は非常に危険な状態であったということになります😱
2024年現在は、WordPressのユーザー名というのは自分で自由に決められるので、こういったリスクは少なくなっています。
それでもわかりやすいからといって、「admin」にする方もいらっしゃるようですが、これは危険なのでやめてください。
現在ユーザー名が「admin」になっている場合や、簡単なユーザー名になっている場合は変更する方法もあります。
ちょっと難易度が上がるんですが、データベースで直接変更する方法もありますし、新たに管理者として別のユーザーを追加して、そしてそのユーザーでログインして「admin」というユーザー名を使っているユーザーごと削除するという方法もあります。
ユーザー名が「admin」で使われていると、ハッカーにとってはあまりにも簡単すぎるターゲットになります。
前述しましたが、パスワードだけわかれば、それでWordPressを突破できるということになってしまいますので、この「admin」のままにしているということは、自ら危険を呼び込んでいるというぐらいの認識が必要です。
IDとパスワードは使い回ししない
次に、複雑なユーザー名とかパスワードにするとわからなくなってしまうので、ユーザー名とパスワードを他のWebサービス(Amazon、楽天など会員ログインが必要なサイト)で使っているいつもの文字列にされている方も多くいらっしゃいます。
他のIDとパスワードと一緒のものを使うというのも非常に危険なことです!
例えば、同じユーザー名とパスワードを50サイトで使い回しているとすれば、その50のサービスのうちのどれかでIDとパスワードが悪意のある第三者に漏れてしまった場合は、他の49カ所でもログインされる可能性が出るというです。
IDとパスワードは悪意のある第三者から、セットで色々なサイトに無差別に当てはめられて突破される可能性が出てくるということなので、IDとパスワードの使い回しが非常に危険な行為であるということを知っておいてください。
IDとパスワードをどう管理するか
弊社の場合どうしているかというと、パスワード生成ツールというものを使っています。
ユーザー名の文字列を複雑なものにするだけでなく、パスワードも少なくとも20桁以上の半角英数、小文字大文字記号などを織り交ぜた、他とは被らない使い回しをしていないオリジナルな文字列を設定しています。
ですから、さっき50サイトっていう話をしましたが、50サイトあれば50サイトとも違うIDとパスワードを使って、それぞれオリジナルにしておくということになります。
これぐらいの量になると、人間の頭では絶対に覚えられないので、どこかにメモするのがいいと思いますが、メモといってもコピーペーストができるメモが1番いいと思います。
実際にこれぐらいの半角英数字とか記号とか織り交ぜていくと、手書きのメモは「ちょっと間違えた」「Iとlが小文字で違っていた」「小文字のlと1の数字がどっちかわからなくなっている」など様々な問題が出て来ると思いますので、結局データで保存しておくのが1番ではないかと思います。
弊社の場合は、パスワードの管理ツールとして、ロボフォームという有料のクラウドソフトを使ってID・パスワードを管理しています。
5個や10個ぐらいのサイトでしたら自分で管理もできるかもしれませんが、50とか100とか200、300ってなって来ますと、何らかのツールを使わないと管理できないということで、こういったツールを使っています。
「admin」はどうするか?
繰り返しになりますが、文字列を複雑にしても、いくつものサイトで同じものを使い回すことでは意味がありません。
1つ漏洩してしまうと、すべてのサイト、いろんなサイトでそのIDとパスワードが無差別に適用されて試されて、ログイン突破されるサイトも出てくる可能性があるということでしたね。
WordPressのセキュリティの第一歩として、ユーザー名とパスワードの文字列を長くするという、そういう対策だけでかなりセキュリティの強度は上がりますので、これは全員がやってほしいという対策になります。
そして「admin」というユーザー名はいけないという話もしましたが、同じように文字数の短いユーザー名でしたら、ランダムに当てはめられて突破される可能性もありますので、できれば文字列をもう少し長くして、記号も含めるとより良いと思います。
パスワードの方は、管理画面からパスワードを再度長いものに入れ直して変更することは簡単にできるんですが、ユーザー名の場合は少し難易度が上がります。
まず、管理画面で新しいユーザーを追加し、そのユーザーに「admin」などセキュリティの弱い文字列の旧ユーザーの投稿など全ての権限を移譲してから、旧ユーザー名を削除してください。
今後は、新しく追加したユーザーを「管理者ユーザー」として使っていってください。
安全にWordPressを運営管理して欲しいと思います。
重要
最初に誰でも簡単にできる「セキュリティを高めるポイント」は、
- ログイン時のユーザー名とパスワードの文字列の複雑化(記号も含めるとより良い)
- ログイン時のユーザー名とパスワードの使い回しをしない
という2点になります。
ご視聴どうもありがとうございました。
投稿者プロフィール
- 2004年頃の会社員時代からブログ作成を始める。ブログ作成が楽しくなり、そのまま趣味が高じて2006年にホームページ制作で起業、2008年に株式会社ウェブロードを設立。現在は、個人・中小事業者のWordPressサイト制作・改善を中心に、Web業界18年の知識と経験を生かして、大型案件のWebディレクターとしても活動中。 プロフィールはこちら
最新の投稿
コンテンツ制作2025年1月22日コンテンツマーケティング事例紹介【ク◯◯ルの事例】- WordPress講座2025年1月16日WordPressのセキュリティはユーザー名とパスワードを強固にするのが第一歩目
- メルマガバックナンバー2025年1月15日海外のDDos攻撃からWordPressサイトを守る方法
- SEO・Web集客2025年1月5日BtoBビジネスを行っている事業者の方へ
お問合せフォームはこちら
弊社サービスをご検討いただきありがとうございます。
相見積もりや社内検討用など、概算お見積りのPDFが必要な場合はこちらでご入力・出力できます。
お見積りのご依頼・打ち合わせはメール/お電話/GoogleMeet等オンラインでもご対応可能です。全国からお問い合わせを受付けています。
翌営業日を過ぎても弊社からの連絡がない場合はメールが届いていませんので、大変お手数をお掛けしますが、下記メールアドレスにご連絡ください。
