ユーザーに弱いパスワードを許可することは、玄関のドアを全開にしたままにしておくようなものです。泥棒やハッカーが侵入するのを招くことになります。
ユーザーは、しばしば同じ短くて安全でないパスワードをどこでも選択します。WordPressサイトで強力なパスワードを強制しない限り、コンテンツと機密性の高いユーザーデータを危険にさらすことになります。
パスワードの強度を偶然に任せるのではなく、この記事ではWordPressウェブサイトでユーザーに強力なパスワードを作成させる方法を示し、オンラインセキュリティを向上させます。
WordPressユーザーに強力なパスワードを強制する理由
強力なパスワードは、ハッカーがブルートフォース攻撃を使用してサイトにアクセスすることをより困難にします。WordPressサイトのセキュリティを最適化するのに時間を費やした場合は、強力なパスワードを使用してログインページも保護したいと思うでしょう。
ただし、オンラインストア、会員サイト、または複数著者ブログをお持ちの場合、顧客やその他のサイトユーザーが推測しやすい弱いパスワードを使用することで、ウェブサイトがハッカーに対して脆弱になるリスクがあります。総当たり攻撃。
パスワードが弱いユーザーがいると、特に管理者やエディターのような高レベルのユーザーロールを持つユーザーの場合、セキュリティリスクとなる可能性があります。
WordPressには、アカウント作成時にパスワードの強度をユーザーに示す組み込み設定がありますが、その強度を強制するものではありません。
幸いなことに、WordPressプラグインを使用して、WordPressウェブサイトでアカウントを作成する際に、ユーザーに強力なパスワードを作成するように強制することができます。
それでは、WordPressユーザーに強力なパスワードを強制する方法を見ていきましょう。以下のクイックリンクを使用して、使用したい方法にジャンプしてください。
方法1. Solid Securityで強力なパスワードを強制する
強力なパスワードを強制する最も簡単な方法は、WordPressセキュリティプラグインを使用することです。 私たちは、数回のクリックで強力なパスワードを強制できるため、Solid Security(旧iThemes Security)をお勧めします。
セキュリティ強化、ファイル整合性チェック、404検出などを提供するプレミアムバージョンがありますが、このチュートリアルではパスワード保護機能があるため、無料バージョンを使用します。詳細については、完全なSolid Securityレビューをご覧ください。
まず、プラグインをインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法に関するガイドを参照してください。
有効化したら、Security » Setupに移動してセキュリティ設定を選択します。設定ウィザードがあり、ニーズに合わせてセキュリティプラグインを構成するための手順が示されます。
まず、お持ちのウェブサイトの種類を選択してください。「ブログ」オプションを選択します。
これで、「Security Check Pro」を有効にするためのトグルが表示されます。これにより、セキュリティ設定が自動的に構成され、HTTPリクエストがHTTPSにリダイレクトされ、IPスプーフィングから保護されます。
この設定を「オン」の位置に切り替える必要があります。
その後、個人サイトかクライアントサイトかを選択する必要があります。
このチュートリアルでは「セルフ」を選択します。
次に、ユーザーに対して強力なパスワードポリシーを有効にするトグルがあります。
ユーザーに強力なパスワードを強制するにはトグルをクリックし、「次へ」をクリックしてください。
これで、ユーザーに強力なパスワードを強制することに成功しました。ログインをさらに安全にするために有効にできるさまざまな設定があります。
必要であれば、IPアドレスのリストをホワイトリストに追加して、ウェブサイトからロックアウトされるのを防ぐことができます。各ユーザーのIPアドレスをリストアップする必要があります。「私のIPアドレスを承認する」ボタンをクリックすると、自分のIPアドレスをすばやく追加できます。
IP検出設定は「セキュリティチェック スキャン(推奨)」のままにして、「次へ」ボタンをクリックしてください。
二要素認証を有効にしたい場合は、トグルをオンの位置にクリックしてから、「次へ」ボタンをクリックしてください。
その後、異なるユーザーグループのためにさらにいくつかのセキュリティ設定を有効にするかどうか尋ねられます。「デフォルトのユーザーグループ」をクリックするだけで済みます。
これにより、ユーザーロールによって強力なパスワードを強制したり、その他の設定を変更したりできる画面が表示されます。
最初の画面は、管理者ユーザーのセキュリティ設定になります。
強力なパスワードをオンにし、他のサイトで以前に使用されたことのある侵害されたパスワードでユーザーが登録するのを拒否できます。
他のユーザーのセキュリティ設定を変更するには、画面上部で別のロールをクリックするだけです。完了したら、画面の上部または下部にある「次へ」ボタンをクリックしてください。
これにより、セットアップウィザードの残りの部分を完了し、ウェブサイトに追加のセキュリティ設定を有効にすることができます。
将来パスワード設定を変更したい場合は、セキュリティ » 設定に移動し、「ユーザーグループ」をクリックして、変更したいグループを選択してください。
完了したら、画面下部にある「保存」ボタンをクリックして設定を保存してください。
方法2:パスワードポリシーマネージャーで強力なパスワードを強制する
WordPressブログで強力なパスワードを強制するもう一つの方法は、Password Policy Managerプラグインを使用することです。これにより、ユーザーが従わなければならない強力なパスワードルールを簡単に作成できますが、iThemes Securityのようにサイトを保護するための他のセキュリティ機能はありません。
まず、プラグインをインストールして有効化する必要があります。詳細については、初心者向けガイドのWordPressプラグインのインストール方法をご覧ください。
有効化後、WordPress管理パネルに「miniOrange Password Policy」という新しいメニューオプションが表示されます。パスワードルールを設定するには、これをクリックする必要があります。
次に、「パスワードポリシー設定」トグルをクリックして、強力なパスワード設定をオンにします。
その後、強力なパスワード設定を行うことができます。設定したいパスワード要件のチェックボックスにチェックを入れるだけです。
次に、必要なパスワードの長さを設定します。
その後、パスワードを指定期間後に期限切れにするオプションを選択できます。
これを有効にしたい場合は、「有効期限」トグルをクリックしてから、有効期限を週単位で入力してください。
完了したら、「設定の保存」ボタンをクリックしてください。
ユーザーのパスワードはいつでもリセットできます。「パスワードをリセット」ボタンをクリックするだけで、すべてのユーザーに新しい強力なパスワードの作成が求められます。
WordPressパスワード保護のためのベストガイド
この記事が、WordPressでユーザーに強力なパスワードを強制する方法を学ぶのに役立ったことを願っています。WordPressのパスワード保護に関するその他のガイドも参照することをお勧めします。
- WordPressのパスワードを変更する方法(初心者向けガイド)
- パスワードを簡単かつ安全に管理する方法(初心者向けガイド)
- WordPressでログイン試行を制限する方法と理由
- WordPressにシンプルなユーザーパスワードジェネレーターを追加する方法
- WordPressログイン画面でユーザーがパスワードを表示/非表示できるようにする方法
- WordPressで全ユーザーのパスワードをリセットする方法
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
Dayo Olobayo
強力なパスワードの強制に関する、この明確で有益なガイドをありがとうございます。ただ、これらのプラグインが他のセキュリティプラグインと簡単に統合できるかどうか、という質問があります。例えば、マルウェアスキャンやログイン試行監視用のプラグインなどです。
WPBeginnerサポート
使用している特定のセキュリティプラグインに確認する必要があります。プラグインによって競合が異なる場合や、正常に連携する場合があるためです。
管理者
Dayo Olobayo
clarificationありがとうございます。特定のプラグインとの互換性を確認します。
Mrteesurez
よくできました。
しかし、私の質問は、サイトのユーザーが実際には管理者ではないのに、なぜ弱いパスワードを使用するとリスクが生じるのかということです。
また、Password Policy Manager プラグインについてもありがとうございます。その機能が気に入っています。
あなたのガイドを実装することで、私のウェブサイトはよりプロフェッショナルになっています。感謝しています。
WPBeginnerサポート
可能性は非常に低いですが、プラグインやテーマに脆弱性があり、サイト上のユーザーが必要なだけであれば、ハッカーは管理者ではなくユーザーを標的にする可能性があります。
管理者
salvador aguilar
This plugin is now closed on WP repo
WPBeginnerサポート
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
管理者
lionel
このプラグインは1年以上更新されていません。
WPBeginnerサポート
お知らせいただきありがとうございます。確認したところ、プラグインは引き続き機能するはずですが、更新がない理由については、こちらの記事をご覧ください。
管理者
Bobby
このプラグインには、パスワードレベルを変更する機能はありますか?この問題を1ヶ月以上探していました。
WPBeginnerスタッフ
このプラグインはパスワードメールを送信しません。また、メールの暗号化を宣伝することもありません。それがこのプラグインの目的ではありません。
CST
「強力なパスワードを強制する」プラグインは、パスワードを暗号化せずにメールで送信することをブロックしない場合、宣伝されているほど安全ではないようです。
dwf
さらに、「強力なパスワードを強制する」プラグインは、ユーザー設定中に強力なパスワードをメールで送信することを防ぐための何も行いません。
Chris
すべてのユーザー、特に「購読者」に対しても、この同じアプローチを実装する方法について何かアイデアはありますか?
編集スタッフ
はい、
slt_fsp_weak_rolesフィルターを使用する必要があります。以下のコードは試していませんが、これに似たもので機能するはずです。add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
管理者
クリス・ミラー
ありがとうございます!最近のブルートフォース攻撃の多さを考えると、WordPressがセキュリティパスワード要件を強化するための簡単な「チェックボックス」オプションを実装していないことに驚いています。これを試してみます。
Sara
素晴らしいコンセプトです。WordPressのプラグインサイトの「サポート」ページを見ると、開発者はサポートメッセージに返信しておらず、セキュリティ分野での評判もないようです。
強調したいのは、アイデアは大好きだということです。しかし、ソフトウェアの背後にある「会社」または開発者から見えているものには感銘を受けていません。セキュリティのようなものについては、それは私を不安にさせます。今のところパスします。
編集スタッフ
多くの場合、開発者は自由な時間を使ってプラグインを開発しています。いくつか自分で開発した経験から、特に何も見返りがない場合に、それらをサポートするのがいかに難しいかを知っています。このプラグインの著者は、プラグインのGitHubページを更新しました。それは多くのアップグレードと修正が含まれるバージョン1.1を実行しているようです。
管理者
Damien
もし彼らが(単に)WordPressの強度テストをPHPに変換しただけなら、セキュリティの世界で評判を持つ必要はありません。それは本当に「新しい」コードではなく、移植されたコードです。