WordPressサイトでユーザーに強力なパスワードを強制的に使用させたいですか?
WordPressサイトのセキュリティを向上させる優れた方法は、新規アカウント登録時にユーザーに強力なパスワードを作成させることです。
この投稿では、WordPressでユーザーに強力なパスワードを強制し、サイトのセキュリティを向上させる方法を紹介します。
なぜWordPressユーザーに強力なパスワードを強制するのか?
強力なパスワードは、ハッカーがブルートフォース攻撃を使ってサイトにアクセスすることをより困難にします。WordPressサイトのセキュリティの最適化に時間を費やしたのであれば、強力なパスワードを使用してログインページを保護することもお勧めします。
しかし、オンラインショップや 会員制サイト、複数著者のブログを運営している場合、ブルートフォース攻撃で簡単に推測される弱いパスワードを使用することで、カスタマイザーや他のサイトユーザーがあなたのサイトをハッカーに対して脆弱にしてしまう危険性があります。
弱いパスワードのユーザーを持つことは、特に管理者やエディターのような高レベルの権限グループを持つユーザーにセキュリティリスクをもたらす可能性があります。
WordPressには、アカウント作成時にパスワードの強度をユーザーに表示するビルトイン設定があるが、強度を強制するものではない。
幸いなことに、WordPressプラグインを使用すれば、WordPressサイトでアカウントを作成する際に、ユーザーに強力なパスワードを作成させることができます。
それでは、WordPressユーザーに強力なパスワードを強制する方法を見ていきましょう。以下のクイックリンクから、使いたい方法にジャンプしてください:
方法1.iThemes Securityで強力なパスワードを強制する
強固なパスワードを強制する最も簡単な方法は、WordPressのセキュリティプラグインを使用することです。Solid Security(旧iThemes Security)をお勧めします。
セキュリティ強化、ファイル整合性チェック、404 検出などの機能を提供するプレミアム版もありますが、パスワード保護機能を備えているため、このチュートリアルでは無料版を使用します。 詳細については、Solid Security のレビューをご覧ください。
最初に行う必要があるのは、プラグインのインストールと有効化です。詳しくは、WordPressプラグインのインストール方法をご覧ください。
有効化したら、Security ” Setupでセキュリティ設定を選んでください。セットアップウィザードがあり、あなたのニーズに合わせてセキュリティプラグインを設定することができます。
まず、あなたのサイトのタイプのオプションをクリックします。ここでは「ブログ」オプションを選択します。
セキュリティチェック・プロ」を有効化するためのトグルが表示されます。これにより、HTTPリクエストをHTTPSにリダイレクトし、IPスプーフィングから保護するためのセキュリティ設定が自動的に行われます。
この設定を「オン」に切り替えてください。
その後、個人サイトか顧客サイトかを選択する必要がある。
このチュートリアルでは「セルフ」を選択します。
次に、ユーザーの強力なパスワードポリシーをオンにするトグルがある。
ユーザーに強力なパスワードを強制するためのトグルをクリックし、「次へ」をクリックする必要があります。
これで、ユーザーに強力なパスワードを強制することができました。ログインをより安全にするために有効化できる設定は他にもいろいろあります。
お望みであれば、IPアドレスのリストをホワイトリストに追加して、サイトからロックアウトされるのを防ぐことができます。各ユーザーのIPアドレスをリストアップする必要があります。自分のIPアドレスを追加するには、「自分のIPアドレスを投稿する」ボタンをクリックします。
IP検出の設定は「セキュリティチェック・スキャン(推奨)」のままにしておき、「次へ」ボタンをクリックします。
2要素認証を有効化したい場合は、トグルを「オン」にして「次へ」ボタンをクリックします。
その後、ユーザーグループごとにセキュリティ設定を有効化するかどうかを尋ねられます。初期設定のユーザーグループ」をクリックするだけです。
この画面では、強力なパスワードを強制したり、ユーザー権限グループごとに他の設定を変更することができます。
最初の画面は、管理者ユーザーのセキュリティ設定です。
強力なパスワードを有効にし、以前他のサイトで使用された危険なパスワードでのユーザー登録を拒否することができます。
他のユーザーのセキュリティ設定を変更するには、画面上部にある別の権限グループをクリックするだけです。完了したら、画面の上部または下部にある「次へ」ボタンをクリックします。
これにより、セットアップウィザードの続きが表示され、サイトの追加セキュリティ設定が有効化されます。
将来的にパスワード設定を変更したい場合は、セキュリティ ” 設定に行き、’ユーザーグループ’をクリックし、変更したいグループを選択します。
設定が終わったら、画面下の「Save」ボタンをクリックして設定を保存してください。
方法2:パスワードポリシーマネージャーで強力なパスワードを強制する
WordPressブログで強力なパスワードを強制するもう一つの方法は、Password Policy Managerプラグインを使うことです。このプラグインを使えば、ユーザーが守らなければならない強力なパスワードルールを簡単に作成できますが、iThemes Securityのようにサイトを保護する他のセキュリティ機能はありません。
最初に行う必要があるのは、プラグインのインストールと有効化です。詳しくは、初心者向けWordPressプラグインのインストール方法をご覧ください。
有効化した後、WordPress管理画面に「miniOrangeパスワードポリシー」という新しいメニューオプションができます。これをクリックしてパスワードルールを設定してください。
次に、「パスワードポリシー設定」トグルをクリックして、強力なパスワード設定をオンにします。
その後、強力なパスワード設定を行うことができます。設定したいパスワード必須のボックスにチェックを入れるだけです。
次に、必須のパスワードの長さを設定します。
その後、設定した期間後にパスワードの有効期限を設定することができます。
有効化したい場合は、「有効期限を設定する」をクリックし、有効期限を週単位で入力してください。
設定が終わったら、必ず「設定を保存」ボタンをクリックしてください。
また、すべてのユーザーのパスワードをいつでもリセットすることができます。パスワードのリセット’ボタンをクリックするだけで、すべてのユーザーが新しい強力なパスワードを作成するように求められます。
WordPressのパスワードを保護するためのベストガイド
強力なパスワードを強制することは、WordPressサイトのセキュリティを向上させる素晴らしい方法です。WordPressのパスワード保護に関する他のガイドもご覧ください。
- WordPressでパスワードを変更する方法(初心者ガイド)
- パスワードを簡単かつ安全に管理する方法(初心者ガイド)
- WordPressでログイン試行を制限する方法と理由
- WordPressで簡単なユーザーパスワードジェネレータを追加する方法
- WordPressのログイン画面でユーザーにパスワードの非表示/表示を許可する方法
- WordPressですべてのユーザーのパスワードをリセットする方法
WordPressでユーザーに強力なパスワードを強制する方法について、この投稿がお役に立てれば幸いです。また、無料のビジネスメールアドレスを作成する方法や、専門家が選んだ最高のバーチャルビジネス電話番号アプリもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Mrteesurez says
Good job here.
but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
Also, thanks for that plugin Password Policy Manager, I love how it works.
My websites are becoming more professional by implementing your guides. I appreciate.
WPBeginner Support says
The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.
管理者
salvador aguilar says
This plugin is now closed on WP repo
WPBeginner Support says
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
管理者
lionel says
this plugin hasn’t been updated in over a year.
WPBeginner Support says
Thank you for letting us know, from taking a look the plugin should still be working but for understanding the lack of updates you would want to take a look at our article here: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
管理者
Bobby says
Is there any function in this plugin to change the password level? I was looking for this issue over a month.
WPBeginner Staff says
This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.
CST says
It does not sound like the, “Force Strong Passwords” plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.
dwf says
Not to mention that the “Force Strong Passwords” plugin does nothing to prevent emailing of strong password during User setup…
Chris says
Any ideas on how to implement this same approach but for all users; even ‘subscribers’?
Editorial Staff says
Yes you would have to use
slt_fsp_weak_rolesfilter. Haven’t tried the code below, but something like this should work:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
管理者
Chris Miller says
Thank you! I’m surprised WordPress hasn’t implemented a simple ‘tick box’ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.
Sara says
Great concept. Looking at the “support” page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.
I want to stress, I love the idea. But I am not wowed by what I’m seeing of the “company” or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.
Editorial Staff says
Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.
管理者
Damien says
If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really “new” code, just ported code.