WordPressでユーザーにパスワード変更を強制したいですか?
パスワードを定期的に変更することで、WordPressサイトのセキュリティを向上させましょう。この簡単なステップにより、ハッカーによるサイトへの侵入が大幅に難しくなり、ユーザーとあなたのデータを守ることができます。
この投稿では、WordPressでユーザーのパスワードを一定期間後に失効させ、強制的にパスワードを変更させる方法を紹介する。
WordPressユーザーにパスワード変更を強制するタイミングと理由とは?
データ漏洩の80%はパスワードの脆弱性や盗難が原因。定期的な変更はハッカーの試みを妨害する。
ハッカーは、一定期間にわたって定期的にあなたのアカウントに繰り返しアクセスしようとします。この場合、悪意ある者によるブルートフォース攻撃を防ぐことができます。
新規ユーザーの多くは、覚えやすいという理由で、弱いパスワードや他のアカウントと同じパスワードを使いがちです。ハッカーがWordPressサイトに侵入すると、他のユーザーすべてのセキュリティが危険にさらされる可能性があります。
しかし、パスワードの強制変更は管理ユーザーにはできません。会員ユーザーやリピーターにも変更を強制する必要があります。例えば、カスタマイザーがWooCommerceストアや 会員サイトに登録すると、パスワードをメールで受け取ります。そのため、定期的なパスワード変更を強制することで、メールを使ったフィッシングの試みを軽減することができます。
また、マルチユーザーのWordPressサイトを運営しているのであれば、特定の時間が経過したらパスワードを更新するようユーザーに求めるべきである。
一方、最近WordPressサイトでの不審な動きに気づいたのであれば、すぐに既存のユーザーパスワードをすべて失効させ、全員にパスワードの更新を依頼する必要がある。
それでは、WordPressでパスワードを失効させ、ユーザーにパスワードを変更させる方法を見てみよう。
WordPressでユーザーにパスワード変更を強制する
WordPressでユーザーにパスワード変更を強制する最善の方法は、Password Policy Managerプラグインを使用することです。強力で安全なパスワードポリシーを簡単に作成し、強制することができます。
始めるには、Password Policy Managerプラグインをインストールして有効化する必要があります。詳しくはWordPressプラグインのインストール方法のチュートリアルをご覧ください。
ここから、パスワードポリシーマネージャー ” パスワードポリシーマネージャーのページに移動する必要があります。そして、Policy Settings ” For All Usersタブの下に、あなたが設定できる様々なパスワードポリシー設定が表示されます。
まず、「すべての設定を有効化する」という大きなトグルボタンをオンにしてください。その下に、新規ユーザーが新しいパスワードを作成する必要があるたびに強制したいパスワードポリシールールをすべてチェックすることができます。
オプション設定は以下の通り:
- 小文字と大文字を含むコンテナであること。
- 数字はコンテナでなければならない。
- 特殊文字を含むこと。
- パスワードの長さは8~25
これらのボックスは、強力なパスワードを持つためのベストプラクティスですので、チェックを外しておくことをお勧めします。WordPressにシンプルなユーザーパスワードジェネレータを追加する方法については、こちらのガイドもご覧ください。
その下にある「Force Reset Password on first login(初回ログイン時にパスワードを強制リセット)」というボックスをチェックする必要があります。これにより、新規ユーザーが他のオンラインアカウントと同じパスワードを使うことを防ぎ、最初から強力なパスワードを設定することができます。
次に、’Enable Password Expiry’(パスワードの有効化)オプションをオンにして、すべてのサイトユーザーにパスワードの変更を強制する特定の有効期限を設定します。その次に、変更を強制する週数を設定することができます。
その後、「設定を保存」ボタンを押すこともできる。
保存設定の下に、ワンクリックでパスワードをリセットするオプションがあります。あなたやあなたのユーザーがしばらくパスワードをリセットしていない場合は、「パスワードをリセット」ボタンを押すことをお勧めします。
これにより、ユーザーのログイン中セッションはすべて自動的に終了し、パスワードのリセットが強制される。
すべてのユーザーに、パスワードをリセットするためのリンクが記載されたメールが送信されます。
メールにあるリンクをクリックしてください。
WordPressのログイン画面が表示されますので、現在のパスワードと新しいパスワードを入力してください。
暗記するよりも、安全なパスワードジェネレータを使うことをお勧めします。その後、1Passwordや LastPassのようなパスワードマネージャーを使って保存します。
ここから「Change Password」をクリックする。
その後、WordPressのログインページに戻り、新しいログイン情報を入力します。
また、Password Policy Manager ” Reports ページに行くこともできます。ここにはユーザーによるログイン試行がすべて表示されます。WordPressサイトへの不審な試行が行われていないか、定期的にチェックすることをお勧めします。もしそうであれば、先ほど説明したワンクリックで簡単にリセットを実行することができます。
データを見るには、「レポート入力を有効化」タブを切り替える必要がある。
これで完了です!これで、WordPressサイトが有効期限後にすべてのユーザーにパスワード変更を強制するように設定できました。
トラブルシューティングのヒント
もしユーザーがメールを受け取らなかったら?
パスワードをリセットするためのメール通知がユーザーに届かない場合、さまざまな原因が考えられます。WordPressがメールを送信しない問題の解決方法をご覧ください。
パスワードをリセットするためにWordPress管理エリアに入れない場合は?
WordPressの管理エリアに入れない場合は、WordPressの管理エリアからロックアウトされた場合の対処法をご覧ください。
WordPressでユーザーにパスワードを強制的に変更させる方法について、この投稿がお役に立てれば幸いです。また、サイトのセキュリティ向上に役立つ究極のWordPressセキュリティガイド、または最も一般的なWordPressエラーとその修正方法のリストもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Marko says
Article need update.
WPBeginner Support says
Thank you for letting us know, we will look into updating the article when we are able
管理者
Shallum Vohr says
How to force user to update password on first login only?
Millie Aveyard says
Very difficult for older people like me, to remember all the different passwords in their lives! Everything these days seem to have passwords of one form or another!
Even if you write the passwords down in your little book, at the time you need the new password, you have left the little book in the car, and the roundabout starts once more!
I can’t be the only one to have to stop and think about all the different passwords that I use each day!
WPBeginner Support says
Please see our guide on how to manage passwords for WordPress beginners. We use LastPass to store and manage all our passwords. It is a browser extension that sits in your web browser. It can save and automatically fill in your passwords for you. It can also generate strong passwords for you when you are creating a new account.
管理者
Remi says
Very nice idea! It’s a great to give more security to the administration!
Daniel says
Good post – I have now configured the plugin on my blog site. I would strongly recommend also the following:
1) You remove the admin user altogether – here you create another user who has the admin role, login as them the delete the existing admin user; ensuring you click on the option to transfer admin’s previous posts to you
2) The ‘admin’ ( role user) password is complex – use oninepasswordgenerator.com or similar
3) finally, you must must,mus,t install the “Limit Login attempts” plugin … This is a work of genius and is regularly blocking the 10 or so attempts per day to login into my blog. Set long lockout times and get the plugin to email you (new admin user ) after 2 lockouts
Navneet says
This is a very good post ……