ログインパスワードは複雑で強固なものにしよう

WordPressはユーザー名とパスワードを組み合わせてログインができるます。

webセキュリティの第一人者の徳丸浩さんは、著書『徳丸浩のWebセキュリティ教室』webサイト(ホームページ)への侵入は次の2種類とおっしゃっています。
徳丸浩のWebセキュリティ教室(日経BP Next ICT選書)

1.ソフトウェアの脆弱性を悪用する
2.認証を突破する

1.はWordPress本体、テーマ、プラグインのバグ・不具合なので、それが見つかったとき修正アップデートをかけることで対応できます。
2.はログインパスワードを強固にすることです。

バージョンアップした時のアップデートとログインパスワードを強固にししっかり管理していればかなりのサイバー攻撃は防げます。

1.に関しましてはこちらで書いてます。

今回は2.に関してです。

パスワードは使いまわししない。

これはWordPressだけの話ではありません。
たとえば、Facebook、Twitter、LINE、InstagramなどのSNS。
銀行のホームページなどのログインが必要なサイト

そのようなwebサイトのログインパスワードを同じものにしてないでしょうか?

それは絶対にいけません。

「パスワード忘れちゃうから」 「全部一緒でいいや」
悪い人はその心理を逆用します。

パスワードの流出はFacebookやLINEなどから流出する可能性があります。
悪い人が作ったアプリを知らずに使ったり、アプリ連携をしたりして、ログインユーザー名とログインパスワードを素抜かれたりたりします。
あなたのお友達が「乗っ取りに合った」という投稿を、ニュースフィードに流れてきたことはありませんでしょうか?
SNSでログインユーザー名とログインパスワードの流出はよく起こります。

その時、同じログインパスワードにしていると、悪い人は素抜いたログインユーザー名とログインパスワードで、あなたの他のSNSやブログ、WordPressサイトにもログインしようとします。
(たいていはプロフィールにアドレスを書いてますね。あと検索であなたのSNSやブログ、WordPressサイトを探し出すこともできます)

そしてログインができると、、見事突破となります。

 

WordPressを手動インストール時のログインパスワード

WordPressを手動でインストールすると、データベースの設定をした後、以下の画面が出ると思います。

パスワードのところにデフォルトで暗号のようなパスワードがデフォルトで入力されていますが、
このデフォルトのパスワードをそのままお使いいただくのがいいです。
記号、数字、英語が適当に混ざっている複雑なパスワードですので、デフォルトで入力されているのをそのまま使うのがいいです。

WordPressをレンタルサーバーの自動インストールでのパスワード

多くのレンタルサーバーではWordPressの自動インストール機能を用意しています。

自動インストール機能の場合、WordPressを手動インストール時のようにデフォルトで複雑なパスワードは入っていないことが多いです。

また私が使っているエックスサーバーでは、
『※半角7文字以上、16文字以内で入力してください。
※半角英数字と次の記号が利用できます。
!#$%=~^|:_[]{}.+-*/』
と書かれています。


つまり最大で16文字までで使える記号も限られています。
できれば20文字以上のパスワードが理想ですが、入力することができません。

なので、以下のようにしてください。

デフォルトでは、適当なパスワードを入力します。

インストールを終了後、ダッシュボードの「ユーザー」>「あなたのプロフィール」をクリックします。

画面の下の方に、パスワードを再生成するボタンがあります。

そこで、複雑なパスワードがデフォルトで入力されますので、そのまま使いプロフィールの更新をクリックします。

これで、複雑なパスワードになります。

 

パスワードは時々変更しよう

パスワードは時々変更することをお勧めします。
手順は『WordPressをレンタルサーバーの自動インストールでのパスワード』で説明した方法と同じですのでひ変更をしてください。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください