WPBeginner Sites»WPBeginner»ブログ»Plugins»WordPressでユーザーに強力なパスワードを強制する方法（2つの方法）

WordPressでユーザーに強力なパスワードを強制する方法（2つの方法）

By Editorial Staff | Reviewed by Syed Balkhi | 3月 19, 2024 | Reader Disclosure

ユーザーに脆弱なパスワードを許しておくことは、玄関のドアを開けっ放しにしておくようなものだ。泥棒やハッカーの侵入を招くことになる。

ユーザーはしばしば、どこでも同じ短くて安全でないパスワードを選びます。WordPressサイトで強力なパスワードを強制しない限り、コンテンツや機密性の高いユーザーデータを危険にさらすことになります。

この投稿では、パスワードの強度を偶然に任せるのではなく、WordPressサイトでユーザーに強力なパスワードを作成させ、オンラインセキュリティを向上させる方法を紹介します。

How to force strong password on users in WordPress (2 ways)

なぜWordPressユーザーに強力なパスワードを強制するのか？

強力なパスワードは、ハッカーがブルートフォース攻撃を使ってサイトにアクセスすることをより困難にします。WordPressサイトのセキュリティの最適化に時間を費やしたのであれば、強力なパスワードを使用してログインページを保護することもお勧めします。

しかし、オンラインショップや会員制サイト、複数著者のブログを運営している場合、ブルートフォース攻撃で簡単に推測される弱いパスワードを使用することで、カスタマイザーや他のサイトユーザーがあなたのサイトをハッカーに対して脆弱にしてしまう危険性があります。

弱いパスワードのユーザーを持つことは、特に管理者やエディターのような高レベルの権限グループを持つユーザーにセキュリティリスクをもたらす可能性があります。

WordPressには、アカウント作成時にパスワードの強度をユーザーに表示するビルトイン設定があるが、強度を強制するものではない。

幸いなことに、WordPressプラグインを使用すれば、WordPressサイトでアカウントを作成する際に、ユーザーに強力なパスワードを作成させることができます。

それでは、WordPressユーザーに強力なパスワードを強制する方法を見ていきましょう。以下のクイックリンクから、使いたい方法にジャンプしてください：

Forcing Strong Passwords With Solid Security
Forcing Strong Passwords With Password Policy Manager
Our Best Guides for Protecting WordPress Passwords

方法1.強固なセキュリティで強力なパスワードを強制する

強固なパスワードを強制する最も簡単な方法は、WordPressのセキュリティプラグインを使用することです。Solid Security（旧iThemes Security）をお勧めします。

セキュリティ強化、ファイル整合性チェック、404 検出などの機能を提供するプレミアム版もありますが、パスワード保護機能を備えているため、このチュートリアルでは無料版を使用します。詳細については、Solid Security のレビューをご覧ください。

最初に行う必要があるのは、プラグインのインストールと有効化です。詳しくは、WordPressプラグインのインストール方法をご覧ください。

有効化したら、Security ” Setupでセキュリティ設定を選んでください。セットアップウィザードがあり、あなたのニーズに合わせてセキュリティプラグインを設定することができます。

まず、あなたのサイトのタイプのオプションをクリックします。ここでは「ブログ」オプションを選択します。

セキュリティチェック・プロ」を有効化するためのトグルが表示されます。これにより、HTTPリクエストをHTTPSにリダイレクトし、IPスプーフィングから保護するためのセキュリティ設定が自動的に行われます。

この設定を「オン」に切り替えてください。

その後、個人サイトか顧客サイトかを選択する必要がある。

このチュートリアルでは「セルフ」を選択します。

次に、ユーザーの強力なパスワードポリシーをオンにするトグルがある。

ユーザーに強力なパスワードを強制するためのトグルをクリックし、「次へ」をクリックする必要があります。

これで、ユーザーに強力なパスワードを強制することができました。ログインをより安全にするために有効化できる設定は他にもいろいろあります。

お望みであれば、IPアドレスのリストをホワイトリストに追加して、サイトからロックアウトされるのを防ぐことができます。各ユーザーのIPアドレスをリストアップする必要があります。自分のIPアドレスを追加するには、「自分のIPアドレスを投稿する」ボタンをクリックします。

Whitelisting User's IP Addresses in Solid Central

IP検出の設定は「セキュリティチェック・スキャン（推奨）」のままにしておき、「次へ」ボタンをクリックします。

2要素認証を有効化したい場合は、トグルを「オン」にして「次へ」ボタンをクリックします。

Optional turn on two-factor authentication

その後、ユーザーグループごとにセキュリティ設定を有効化するかどうかを尋ねられます。初期設定のユーザーグループ」をクリックするだけです。

この画面では、強力なパスワードを強制したり、ユーザー権限グループごとに他の設定を変更することができます。

最初の画面は、管理者ユーザーのセキュリティ設定です。

強力なパスワードを有効にし、以前他のサイトで使用された危険なパスワードでのユーザー登録を拒否することができます。

他のユーザーのセキュリティ設定を変更するには、画面上部にある別の権限グループをクリックするだけです。完了したら、画面の上部または下部にある「次へ」ボタンをクリックします。

これにより、セットアップウィザードの続きが表示され、サイトの追加セキュリティ設定が有効化されます。

将来的にパスワード設定を変更したい場合は、セキュリティ ” 設定に行き、’ユーザーグループ’をクリックし、変更したいグループを選択します。

設定が終わったら、画面下の「Save」ボタンをクリックして設定を保存してください。

方法2：パスワードポリシーマネージャーで強力なパスワードを強制する

WordPressブログで強力なパスワードを強制するもう一つの方法は、Password Policy Managerプラグインを使うことです。このプラグインを使えば、ユーザーが守らなければならない強力なパスワードルールを簡単に作成できますが、iThemes Securityのようにサイトを保護する他のセキュリティ機能はありません。

最初に行う必要があるのは、プラグインのインストールと有効化です。詳しくは、初心者向けWordPressプラグインのインストール方法をご覧ください。

有効化した後、WordPress管理画面に「miniOrangeパスワードポリシー」という新しいメニューオプションができます。これをクリックしてパスワードルールを設定してください。

次に、「パスワードポリシー設定」トグルをクリックして、強力なパスワード設定をオンにします。

その後、強力なパスワード設定を行うことができます。設定したいパスワード必須のボックスにチェックを入れるだけです。

次に、必須のパスワードの長さを設定します。

その後、設定した期間後にパスワードの有効期限を設定することができます。

有効化したい場合は、「有効期限を設定する」をクリックし、有効期限を週単位で入力してください。

設定が終わったら、必ず「設定を保存」ボタンをクリックしてください。

また、すべてのユーザーのパスワードをいつでもリセットすることができます。パスワードのリセット’ボタンをクリックするだけで、すべてのユーザーが新しい強力なパスワードを作成するように求められます。

WordPressのパスワードを保護するためのベストガイド

この投稿が、WordPressでユーザーに強力なパスワードを強制する方法を学ぶのにお役に立てば幸いです。WordPressのパスワード保護に関する他のガイドもご覧ください：

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

WPBeginnerで人気今すぐだ！

情報開示 私たちのコンテンツは読者支援型です。これは、あなたが私たちのリンクの一部をクリックした場合、私たちはコミッションを得ることができることを意味します。 WPBeginnerの資金源をご覧ください。3$編集プロセスをご覧ください。

について Editorial Staff

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

16件のコメント返信を残す

Mrteesurez

Good job here.
but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
Also, thanks for that plugin Password Policy Manager, I love how it works.
My websites are becoming more professional by implementing your guides. I appreciate.

返信
- WPBeginner Support
  
  The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.
  
  返信
  
  管理者
salvador aguilar

This plugin is now closed on WP repo

返信
- WPBeginner Support
  
  Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
  
  返信
  
  管理者
lionel

this plugin hasn’t been updated in over a year.

返信
- WPBeginner Support
  
  Thank you for letting us know, from taking a look the plugin should still be working but for understanding the lack of updates you would want to take a look at our article here: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
  
  返信
  
  管理者
Bobby

Is there any function in this plugin to change the password level? I was looking for this issue over a month.

返信
WPBeginner Staff

This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.

返信
CST

It does not sound like the, “Force Strong Passwords” plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.

返信
dwf

Not to mention that the “Force Strong Passwords” plugin does nothing to prevent emailing of strong password during User setup…

返信
Chris

Any ideas on how to implement this same approach but for all users; even ‘subscribers’?

返信
- Editorial Staff
  Yes you would have to use slt_fsp_weak_roles filter. Haven’t tried the code below, but something like this should work:
```
add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' );
	function wpb_weak_roles( $roles ) {
		$roles[] = '';
		return $roles;
	}
```
  Hosted with ❤️ by WPCode
  
  1-click Use in WordPress
  返信
  
  管理者
  - Chris Miller
    
    Thank you! I’m surprised WordPress hasn’t implemented a simple ‘tick box’ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.
    
    返信
Sara

Great concept. Looking at the “support” page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.

I want to stress, I love the idea. But I am not wowed by what I’m seeing of the “company” or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.

返信
- Editorial Staff
  
  Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.
  
  返信
  
  管理者
- Damien
  
  If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really “new” code, just ported code.
  
  返信