ワードプレスサイトの管理者パスワードで使ってはいけない文字列について解説いたします。
ワードプレスの管理者権限のパスワード
ワードプレスがハッキングされてしまう原因の2割前後は、管理者権限のパスワードを解析され、管理者としてハッカーがログインしてしまう事になります。
ハッカーはよく使われるパスワードの辞書を持っており、何千回もワードプレスにログイン施行を繰り返し、管理者権限のパスワードを割り出そうとします。
この為、下記のような特徴を持ったパスワードは使用しないことが非常に重要なセキュリティー対策になります。
参考 もっとも使われるパスワード10000(Wikipedia)
・単純な法則のあるパスワード
例
123456 qwertyuiop 7777777
・短か過ぎるパスワード
例
a6ru7
・意味のある単語のパスワード
例
password wordpress baseball
・ユーザーIDと同一、もしくは少し変えただけのパスワード
例(ユーザーIDがadminの場合)
admin admin1234
また、このようなパスワードは、ステージングサイト(作成途中のサイト)や使用されていないサイトだからと言って使用してはいけません。当社のクライアント様の事例で、制作中のステージングサイトで、弱いパスワードを便宜的に使用しており、ステージングサイトがハッキングされてしまった事例もございます。
ハッカーはどのようなサイトでも大量に機械的にハッキングするツールを使い攻撃を仕掛けてきますので、ステージングサイトや使用していないサイトであっても管理者のパスワードを強力なものにすることをお勧めいたします。
強力なパスワードとは?
強力なパスワードは、下記のような特徴のあるパスワードとなります。
・文字数が14文字以上
・半角英数記号を一つ以上含む文字列
・意味のある単語を含まない文字列
このようなパスワードは、総当たりで解析するのに7千年かかりますので、ワードプレスのログイン画面をキャプチャー等で強化しなくてもまず破られることは無くなります。
ワードプレスのパスワードは管理画面のプロフィール画面から自動で強力なものを生成することができます。こちらからパスワードを生成いただくことをお勧めいたします。
ハッカーの辞書攻撃を防ぐ
パスワードを強力にすると辞書による総当たり攻撃で管理者権限が奪取さされてしまう事は防げるものの、ハッカーは前述のように手当たり次第にワードプレスサイトを攻撃する為、辞書攻撃自体を防ぐことはできません。
辞書攻撃(ブルートフォースアタック)自体を防ぐには下記のような対策が有効です。
・ログイン画面にキャプチャ(人間にしか解けないクイズ)を導入する
・ログイン画面のURLを変える
・XMLRPCというワードプレスの遠隔更新の仕組みの辞書攻撃を防ぐ
・辞書攻撃を検出してIPをブロックする
※上記のような対策は【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] でも簡単に設定いただけます。
お試しいただけましたら幸いです。
・ログイン画面にベーシック認証を導入する
参考 https://www.xserver.ne.jp/manual/man_server_limit.php
・ログイン画面にアクセスできるIPを制限する
参考 https://www.xserver.ne.jp/manual/man_server_ipcheck.php
等となります。ご参考になりましたら幸いです。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はワードプレスドクターまでお気軽にお送りください
