WordPress ソルトとセキュリティ キーの究極ガイド
WordPress は、世界で最も知名度が高く、人気のあるコンテンツ管理システムの 1 つです。その結果、WordPress はブルート フォース攻撃、SQL インジェクション、マルウェア、クロスサイト スクリプティング、DDoS 攻撃などのセキュリティ上の悪用の標的になることがよくあります。実際、最近、Clipsa と呼ばれる新しいマルウェア株が WordPress サイトにブルート フォース攻撃を開始し、クリップボード ハイジャックを通じて暗号通貨を盗んでいます。
WordPress の安全性は、サイトのセキュリティを向上させるために費やした努力の量に応じて決まります。 Web サイトの所有者には、悪意のある攻撃を防ぐために常に警戒し、プロアクティブなセキュリティ戦略を実装する責任があります。脆弱なパスワードとユーザー名の使用、WordPress コアとプラグインの更新の失敗、低品質のホスティングは、Web サイト所有者が犯す一般的なセキュリティ上の間違いの 1 つであり、悪意のあるハッカーに簡単にアクセスされてしまいます。
WordPress は、それなりに安全性の高い CMS です。ただし、WordPress を利用したサイトをサイバー犯罪から安全に保つには、セキュリティ体制を改善し、オンラインでの信頼性を高める必要があります。 WordPress コアの更新、安全な WordPress ホスティングプロバイダーの選択、ドメイン名のセキュリティへの注意、安全なパスワードの使用などの簡単な手順で、悪意のあるボットや攻撃者をブロックできます。
この投稿では、WordPress ソルトとセキュリティ キー、およびマルウェア攻撃の余波に対処する必要がないようにするためのそれらの役割に焦点を当てます。
WordPress セキュリティキーとソルトとは何ですか?
ユーザーが WordPress サイトにログインすると、コンピューター上に多数の Cookie が作成されます。これらは、ログインしているユーザーの身元を確認するために使用されます。ハッカーがデータベースに侵入したり、Cookie を見つけたりすると、パスワードを読み取られる可能性があり、その結果、サイトが攻撃に対して脆弱になります。
WordPress はセキュリティ キーとソルトを使用して、データベースまたは Cookie に保存される暗号化された出力を提供し、Web サイトにセキュリティ層を追加します。
これらの Cookie のうち 2 つは次のとおりです。
- WordPress_[ハッシュ] は、管理ページまたは WordPress ダッシュボードでのみ使用されます。
- WordPress_logged_in_[ハッシュ] は、WordPress にログインしているかどうかを判断するために WordPress 全体で使用されます。
WordPress によってこれらの Cookie に保存される認証の詳細は、WordPress セキュリティ キーで指定されたランダム パターンを使用してハッシュされます (暗号的な値が割り当てられます)。
WordPress セキュリティ キー は、暗号化を強化するランダムで長く複雑な変数のセットを含むパスワードであり、パスワードの解読をほぼ不可能にします。 WordPress の最新バージョンでは 4 つのセキュリティ キーが使用されており、それぞれに対応するソルトがあり、WordPress を利用した Web サイトのセキュリティを強化できます。
これらは:
- AUTH_KEY を使用してサイトに変更を加えることができます。これは、非 SSL の認証 Cookie に署名するのに役立ちます。
- SECURE_AUTH_KEY は、SSL 管理者の認証 Cookie に署名するために使用され、Web サイトに変更を加えるために使用されます。
- LOGGED_IN_KEY は、ログイン ユーザーの Cookie を作成するために使用されます。サイトに変更を加えるために使用することはできません。
- NONCE_KEY は nonce キーの署名に使用されます。このキーはノンスが生成されないように保護し、それによってサイトが攻撃から保護されます。
これらの認証キーとソルトは、WordPress ルート フォルダーにある wp-config.php ファイルにあります。
WordPress ソルト は、セキュリティ キーをハッシュし、サイトと認証情報に追加の保護層を追加するランダムなデータ文字列です。
この画像からわかるように、各セキュリティ キーには対応するソルト、つまり AUTH_SALT、SECURE_AUTH_SALT、LOGGED_IN_SALT、および NONCE_SALT があります。
WordPress セキュリティ キーとソルトを使用する理由?
WordPress は Cookie を使用して、Web サイトにログインしているユーザーの ID を追跡します。これらの Cookie は、サイトのダッシュボード アカウント、つまりクライアント側に保存されます。暗号化を強化するために、認証の詳細 (ユーザー名とパスワードの両方) は、WordPress セキュリティ キーで指定された一連のランダムな値を使用してハッシュされます。
したがって、「65a3ds2873ba27us36sd89s0fc」のようなランダムに生成された暗号化パスワードは、暗号化されていないパスワードに比べて解読が非常に困難です。したがって、Web サイト所有者は WordPress セキュリティ キーを使用してサイトの Cookie を保護し、悪意のあるハッカーがサイトにアクセスするのを阻止する必要があります。
WordPress のキーとソルトを手動で変更する方法
秘密キーとソルトは手動で、または WordPress セキュリティ プラグインを使用して設定できます。自己ホスト型 WordPress サイトをお持ちの場合は、セキュリティ キーを自分で追加する必要があります。
注意: WordPress ファイルを手動で編集することをお勧めするのは、開発者であるか、中級以上のレベルでのコードの作業に慣れている場合のみです。初心者の方は、以下の推奨プラグインに進んでください。
まず、WordPress のランダム ジェネレーターを使用して、一意の秘密キーを取得します。
キーの生成
次に、コントロール パネルのファイル マネージャーまたは FTP 経由でログインします。ここから wp-config.php ファイルを見つけて変更します。
ファイルを開き、「認証の一意のキーとソルト」セクションまで下にスクロールします。ここで、以前に生成した秘密キーを追加できます。
ファイルを保存したら、再度ログインする必要があります。
プラグインを使用してキーとソルトを更新する
WordPress のほとんどのことと同様、これを手動で行う必要はありません。いくつかの WordPress プラグインを使用して、ユーザーに代わってプロセスを自動化できます。 WordPress のキーとソルトをすばやく簡単に変更する方法です。おすすめの2つをご紹介します。
iThemesのセキュリティ
iThemes Security の現在のバージョン (無料 v4.6+ または iThemes Security Pro v1.14+) には、WordPress セキュリティ キーとソルトを簡単に更新する時間を節約するセキュリティ機能が付属しています。毎月更新リマインダーを提供し、新しいキーのセットを手動で生成したり、wp-config.php ファイルを編集したりする必要を回避します。
キーとソルトを更新するには、「詳細設定」タブの「WordPress ソルト」セクションに移動し、「WordPress ソルトの変更」のチェックボックスをクリックして、最後に「WordPress ソルトの変更」ボタンをクリックします。
iThemes Security Pro は、2 要素認証、スケジュールされたマルウェア スキャン、悪意のあるソフトウェアを検出し、WordPress ログイン ページに追加のセキュリティ層を追加する reCAPTCHA などの追加機能を提供します。
ソルトシェーカー
同様に、Salt Shaker は、WordPress のセキュリティを向上させるための手動および即時 WP セキュリティ キーやソルト変更などの優れた機能と設定を提供します。
さらに、Salt Shaker プラグインをインストールした後、自動ソルト変更のスケジュールされたジョブを設定できます。ボックスにチェックを入れて、毎日、毎週、または毎月の設定を選択するだけです。
どちらの場合も、プラグインは WordPress キーを更新するための自動リマインダーを送信するようにプログラムされています。その結果、ログインしているすべてのユーザーは再度ログイン プロセスを実行することになります。これらすべての機能は、ブルート フォース攻撃やその他のハッキングの試みから Web サイトを保護するのに役立ちます。
WordPress サイトのセキュリティを確保するには、予防が最善策です。 WordPress セキュリティ キーとソルトの強力な組み合わせにより、ハッカーが Web サイトのパスワードを解読することが困難になります。このようにして、WordPress はユーザー セッションのセキュリティを強化し、データを保護します。
要約すると、WordPress セキュリティ キーとソルトを更新するときに留意すべき点がいくつかあります。
- WordPress サイトを起動した後、セキュリティ キーとソルトを変更します。
- セキュリティ キーを作成するには、必ず WordPress ソルト キー ジェネレーターを使用してください。自分でやらないでください。あるいは、WordPress プラグインを使用してプロセスを自動化することもできます。
- WordPress セキュリティ キーとソルトを更新すると、既存の Cookie がすべて無効になり、すべてのユーザーが即座にログアウトされます。したがって、変更する場合は、一部のユーザーがオンラインである可能性があることに注意してください。
- サイトが攻撃されている兆候を見つけた場合は、WordPress セキュリティ キーを更新し、ユーザーにパスワードを変更するよう促します。
ソルトとセキュリティ キーについてご質問はありますか?または追加するヒントはありますか?コメントでお知らせください!