WordPressでユーザーに強制的にパスワードを変更させる方法 – Expire Password

WordPressサイトをより安全にすることは、常に賢明な行動です。

そのための効果的な方法のひとつが、ユーザーにパスワードの定期的な変更を必須とすることだ。この単純なステップによって、ハッカーが侵入するのをより困難にすることができる。

パスワードの定期的な変更は、あなたのデータとユーザーの情報を保護します。また、サイトのセキュリティも強化されます。一定期間後にパスワードを失効させることで、すべての人の安全を守ることができます。

このガイドでは、WordPressでユーザーにパスワードの変更を強制する方法を説明します。

WordPressユーザーにパスワード変更を強制するタイミングと理由とは？

データ漏洩の80%は、脆弱なパスワードや盗まれたパスワードが関係している。幸いなことに、パスワードは定期的に変更することで、ハッカーの試みを妨害することができる。

ハッカーは、一定期間にわたって定期的にあなたのアカウントに繰り返しアクセスしようとします。この場合、悪意ある者によるブルートフォース攻撃を防ぐことができます。

新規ユーザーの多くは、覚えやすいという理由で、弱いパスワードや他のアカウントと同じパスワードを使いがちです。ハッカーがWordPressサイトに侵入すると、他のユーザーすべてのセキュリティが危険にさらされる可能性があります。

しかし、パスワード変更の強制は管理者ユーザーだけに適用されるべきではない。会員ユーザーやリピーターにも適用すべきです。例えば、カスタマイザーがWooCommerceストアや 会員サイトに登録する際、パスワードをメールで受け取ります。定期的なパスワード変更を強制することで、メールを使ったフィッシングのリスクを減らすことができます。

また、マルチユーザーのWordPressサイトを運営しているのであれば、特定の時間が経過したらパスワードを更新するようユーザーに求めるべきである。

一方、最近WordPressサイトでの不審な動きに気づいたのであれば、すぐに既存のユーザーパスワードをすべて失効させ、全員にパスワードの更新を依頼する必要がある。

このことを念頭に置いて、WordPressでパスワードを失効させ、ユーザーにパスワードを変更させる方法を見てみましょう。

WordPressでユーザーにパスワード変更を強制する

WordPressでユーザーにパスワード変更を強制する最善の方法は、Password Policy Managerプラグインを使用することです。強力で安全なパスワードポリシーを簡単に作成し、強制することができます。

始めるには、Password Policy Managerプラグインをインストールして有効化する必要があります。詳しくはWordPressプラグインのインストール方法のチュートリアルをご覧ください。

ここから、パスワードポリシーマネージャー ” パスワードポリシーマネージャーのページに移動する必要があります。そして、Policy Settings ” For All Usersタブの下に、あなたが設定できる様々なパスワードポリシー設定が表示されます。

まず、「すべての設定を有効化する」という大きなトグルボタンを確実にオンにしましょう。その下に、新しいユーザーが新しいパスワードを作成する必要があるたびに強制したいパスワードポリシールールをすべてチェックオフにすることができます。

オプション設定は以下の通り：

• 小文字と大文字を含むコンテナであること。
• 数字はコンテナでなければならない。
• 特殊文字を含むこと。
• パスワードの長さは8～25

これらのボックスは、強力なパスワードを持つためのベストプラクティスですので、チェックを外しておくことをお勧めします。WordPressにシンプルなユーザーパスワードジェネレータを追加する方法については、こちらのガイドもご覧ください。

その下にある「Force Reset Password on first login（初回ログイン時にパスワードを強制リセット）」というボックスをチェックする必要があります。これにより、新規ユーザーが他のオンラインアカウントと同じパスワードを使うことを防ぎ、最初から強力なパスワードを設定することができます。

次に、’Enable Password Expiry’オプションをオンにして、すべてのサイトユーザーにパスワード変更を強制する特定の有効期限を設定する必要があります。その次に、変更を強制する週数を設定できます。

設定が完了したら、「設定を保存」ボタンを押します。

保存設定の下に、ワンクリックでパスワードをリセットするオプションがあります。あなたやあなたのユーザーがしばらくパスワードをリセットしていない場合は、「パスワードをリセット」ボタンをクリックすることをお勧めします。

これにより、ユーザーのログイン中セッションはすべて自動的に終了し、パスワードのリセットが強制される。

その後、すべてのユーザーにパスワードをリセットするためのリンクが記載されたメールが送られる。

彼らがしなければならないのは、すべてメールにあるリンクをクリックするだけだ。

WordPressのログイン画面が開きますので、現在のパスワードと新しいパスワードを入力してください。

暗記できるパスワードを作ろうとするのではなく、安全なパスワードジェネレータを使うことをお勧めします。その後、1Passwordのようなパスワードマネージャーを使って保存することができます。

ここから「パスワードの変更」をクリックします。

WordPressのログインページに戻りますので、新しいログイン情報を入力してください。

パスワードポリシーマネージャー ” レポート ページで、ユーザーによるすべてのログイン試行をトラッキングできます。定期的にチェックして、WordPressサイトに不審な試みが行われていないか確認することをお勧めします。もしそうであれば、先ほど説明したワンクリックで簡単にリセットを実行することができます。

データを見るには、「レポート入力を有効化」タブを切り替える必要がある。

これで完了です！これで、WordPressサイトが有効期限後にすべてのユーザーにパスワード変更を強制するように設定できました。

トラブルシューティングのヒント

時には、物事が計画通りにスムーズに進まないこともあります。そんなときに役立つトラブルシューティングをご紹介します。

ユーザーにメールが届かない場合は？

パスワードをリセットするためのメール通知がユーザーに届かない場合、さまざまな原因が考えられます。WordPressがメールを送信しない問題の解決方法をご覧ください。

パスワードをリセットするためにWordPress管理エリアに入れない場合は？

WordPressの管理エリアに入れない場合は、WordPressの管理エリアからロックアウトされた場合の対処法をご覧ください。

WordPressでユーザーにパスワードを強制的に変更させる方法について、この投稿がお役に立てれば幸いです。また、サイトのセキュリティ向上に役立つ究極のWordPressセキュリティガイド、または最も一般的なWordPressエラーとその修正方法のリストもご覧ください。

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.