WordPressのセキュリティ強化！パスワードの常識は変化している！？

ブログサイトで利用するWordPressのセキュリティを大幅に見直しました。無知だった部分を補完するとともに、パスワードに関する「従来の一般常識」が、近年になって”ひっくり返っていた”ことに驚いたのでした。（文中敬称略）

ブログサイトのセキュリティを強化した

年末から年始にかけて、ブログの投稿もそっちのけで、ウェブサイトのページ読込み速度のスピードアップとセキュリティ強化に集中して取り組んでいました。

私はCMS（※）としてWordPressを利用しています。今回WordPressのセキュリティを改善するのにあたって読んだ参考書が秀逸でした。

（※Contents Management Syste＝ホームページのコンテンツ管理ツール）

参考書『WordPressセキュリティ大全』

2019年10月に発刊の『WordPressセキュリティ大全』です。セキュリティに関する情報は、インターネットでも数多くヒットしますが、断片的な情報が多くて困惑していたところ、この本に行き当たりました。

WordPressセキュリティ大全

▲画像クリックでAmazonへ▲

得てして難解な専門用語が多く使われがちなジャンルの本ですが、とても平易な文章で理解が進みます。

知らなかった落とし穴と常識

私がこれまで認識していた「セキュリティ対策」といえば、ログインの二段階認証、更新の励行やスパム対策といった程度でした。

しかし改めてWordPressの初期設定の脆弱性を再認識するとともに、パスワードに関する「従来の常識」が変化した意外な事実を初めて知ったのです。

WordPress初期設定のままでは不安

今回の参考書を読むと、WordPressの初期設定ではセキュリティに不安があることがよく分かります。そこで、まずは入口をガードするため、すぐに実行した主な3つの対策がこちら。

1. IDを守る
2. ログインURLを守る
3. ログインを守る

IDを守る

実はWordPressの仕様で、サイトURLの後に「?author=1」を入力すると投稿者のIDが見えてしまうのです。不正ログインに対する防御としてログインに利用するIDを晒したままでは間抜けです。

ログインURLを守る

WordPressのログインURLは（サイトURL） /wp-login.php なので誰でも分かってしまいます。

ログインを守る

それでもハッカーにログインURLに辿り着かれた場合の不安が残ります。

パスワードの常識が変化していた

参考書『WordPressセキュリティ大全』には、一般的なパスワードに関する注意点も書かれていました。

パスワードの定期変更は逆に危険！？

銀行やクレジットカード会社のウェブサイトにアクセスすると「定期的にパスワードを変更してください」と頻繁にアラートが出てきます。

私も「セキュリティ強化のためにはパスワードの定期的な変更が必要」だと信じていました。しかし実は近年、状況が変わってきているのでした。

何と総務省が「パスワードの定期更新は推奨しない」と告知しています！

総務省がwebサイト上で、2017年11月からパスワードの定期更新は非推奨という方針に転換しました。

WordPressセキュリティ大全 66P より引用

パスワードの「定期的な変更は不要」と言い切っているウェブページの内容。

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

  これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです（※１）。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています（※２）。

• （※1） NIST SP800-63B（電子的認証に関するガイドライン）
• （※2） https://www.nisc.go.jp/security-site/handbook/index.html

総務省 安心してインターネットを使うために 国民のための情報セキュリティサイト より引用

設定と管理のあり方｜IDとパスワード｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト

www.soumu.go.jp

パスワードの定期更新を推奨しない理由は「パターン化して推測されやすくなる」ということです。本では『定期更新よりも複雑化』が重要だとしています。

英大文字小文字＋数字＋記号混じりで 10 桁以上を安全圏

『パスワードの複雑化』についても明確な指標が載っていました。

私は基本的に「ウェブサイトが設定する最大桁数」のパスワードを設定しています。16桁とか21桁が多いイメージです。

しかし、実は英字と数字を混在させた場合には、そこまで多くの桁数は必要がないのでした。

NISC（内閣サイバーセキュリティセンター）は「英大文字小文字＋数字＋記号混じりで 10 桁以上を
安全圏」として推奨しています。（下記リンク「インターネットの安全・安心ハンドブック」の30ページ）

みんなでしっかりサイバーセキュリティ

「インターネットの安全・安心ハンドブック」は本ページからダウンロードできます。

www.nisc.go.jp

「英字+数字」8桁以上でも解読に数十年！？

『セキュリティ大全』には、さらに興味深いデータが掲載されていました。情報ソースは情報処理推進機構のウェブサイト※にありました。

　※余談ながら、情報元の数字を確認すると、本に誤植があることに気がつきます。(誤)約20年→(正)約20万年

注目すべきは「8桁以上になると段違いに”最大解読時間”が増加する」事実です。

情報処理推進機構ウェブサイトより引用

英字のみの4桁のパスワードに至っては、解読するのに最大3秒！？　この表を見れば「最低限」設定するべき桁数は自覚できますね。

キャッシュカードやクレジットカードの数字4桁の暗証番号って大丈夫なのかな･･･？