WordPressはユーザー名とパスワードを組み合わせてログインができるます。
webセキュリティの第一人者の徳丸浩さんは、著書『徳丸浩のWebセキュリティ教室』webサイト(ホームページ)への侵入は次の2種類とおっしゃっています。
徳丸浩のWebセキュリティ教室(日経BP Next ICT選書)
1.ソフトウェアの脆弱性を悪用する
2.認証を突破する
1.はWordPress本体、テーマ、プラグインのバグ・不具合なので、それが見つかったとき修正アップデートをかけることで対応できます。
2.はログインパスワードを強固にすることです。
バージョンアップした時のアップデートとログインパスワードを強固にししっかり管理していればかなりのサイバー攻撃は防げます。
1.に関しましてはこちらで書いてます。
今回は2.に関してです。
パスワードは使いまわししない。
これはWordPressだけの話ではありません。
たとえば、Facebook、Twitter、LINE、InstagramなどのSNS。
銀行のホームページなどのログインが必要なサイト
そのようなwebサイトのログインパスワードを同じものにしてないでしょうか?
それは絶対にいけません。
「パスワード忘れちゃうから」 「全部一緒でいいや」
悪い人はその心理を逆用します。
パスワードの流出はFacebookやLINEなどから流出する可能性があります。
悪い人が作ったアプリを知らずに使ったり、アプリ連携をしたりして、ログインユーザー名とログインパスワードを素抜かれたりたりします。
あなたのお友達が「乗っ取りに合った」という投稿を、ニュースフィードに流れてきたことはありませんでしょうか?
SNSでログインユーザー名とログインパスワードの流出はよく起こります。
その時、同じログインパスワードにしていると、悪い人は素抜いたログインユーザー名とログインパスワードで、あなたの他のSNSやブログ、WordPressサイトにもログインしようとします。
(たいていはプロフィールにアドレスを書いてますね。あと検索であなたのSNSやブログ、WordPressサイトを探し出すこともできます)
そしてログインができると、、見事突破となります。
WordPressを手動インストール時のログインパスワード
WordPressを手動でインストールすると、データベースの設定をした後、以下の画面が出ると思います。
パスワードのところにデフォルトで暗号のようなパスワードがデフォルトで入力されていますが、
このデフォルトのパスワードをそのままお使いいただくのがいいです。
記号、数字、英語が適当に混ざっている複雑なパスワードですので、デフォルトで入力されているのをそのまま使うのがいいです。
WordPressをレンタルサーバーの自動インストールでのパスワード
多くのレンタルサーバーではWordPressの自動インストール機能を用意しています。
自動インストール機能の場合、WordPressを手動インストール時のようにデフォルトで複雑なパスワードは入っていないことが多いです。
また私が使っているエックスサーバーでは、
『※半角7文字以上、16文字以内で入力してください。
※半角英数字と次の記号が利用できます。
!#$%=~^|:_[]{}.+-*/』
と書かれています。
つまり最大で16文字までで使える記号も限られています。
できれば20文字以上のパスワードが理想ですが、入力することができません。
なので、以下のようにしてください。
デフォルトでは、適当なパスワードを入力します。
インストールを終了後、ダッシュボードの「ユーザー」>「あなたのプロフィール」をクリックします。
画面の下の方に、パスワードを再生成するボタンがあります。
そこで、複雑なパスワードがデフォルトで入力されますので、そのまま使いプロフィールの更新をクリックします。
これで、複雑なパスワードになります。
パスワードは時々変更しよう
パスワードは時々変更することをお勧めします。
手順は『WordPressをレンタルサーバーの自動インストールでのパスワード』で説明した方法と同じですのでひ変更をしてください。