「自分のような中小企業のサイトなんて、誰も見向きもしないだろう」
「パスワードは覚えやすい『password123』や会社名でいいや」
もしあなたがこのように考えて、WordPressのログインパスワードを簡単なものに設定しているとしたら、今すぐに変更してください。
簡単なパスワードを設定することは、「現金の入った金庫を、鍵をかけずに道端に置いている」のと同じくらい危険な行為だからです。
WordPressがハッキングされる原因の第1位は、「弱いパスワード」です。
ハッカーはあなたのサイトを個人的に狙っているわけではありません。自動化されたプログラム(ボット)を使って、世界中のWordPressサイトに対し、手当たり次第に「よくあるパスワード」でログインを試みているのです。
あなたのサイトが有名か無名かは関係ありません。弱いパスワードを使っているすべてのサイトが、彼らの標的です。
この記事では、なぜ簡単なパスワードが致命的なのか、ハッカーがどのようにパスワードを突破するのか、そして鉄壁のセキュリティを作るためのパスワード管理術について解説します。
覚えやすいパスワードにする、という落とし穴
「頻繁にログインするから、いちいち長いパスワードを入力するのは面倒だ」
その気持ちは分かります。しかし、その「利便性」と引き換えに、あなたはサイトの全権限を危険にさらしています。
WordPressのログインページ(通常は /wp-admin や /wp-login.php)は、誰でもアクセスできる公開された入り口です。
悪意あるボットは、24時間365日、インターネット上のWordPressサイトを探し回り、「ブルートフォース攻撃(総当たり攻撃)」を仕掛けています。
これは、辞書に載っている単語やよくあるパスワードの組み合わせを、1分間に何千回も高速で試す攻撃手法です。
「admin」「password」「123456」「会社名」といったパスワードは、ハッカーの辞書リストの最初の方に登録されています。
WordPressの初期設定ではログイン試行回数に制限がないため、ボットは正解するまで無限にパスワードを試し続けることができます。
簡単なパスワードを使っている限り、突破されるのは時間の問題なのです。
簡単なパスワードが危険な5つの理由
パスワードが弱いことが、具体的にどのような破滅的な結果を招くのか、5つの理由で解説します。
1、ルートフォース攻撃で一瞬で突破される
ハッカーは手動でパスワードを入力しているわけではありません。高性能なツールを使っています。
「admin123」のようなパスワードは、攻撃開始から1秒未満で突破されます。
一方で、英数記号を混ぜた16文字以上の複雑なパスワードであれば、現在のコンピュータ性能では解読に数億年以上かかると言われています。強さは文字数と複雑さに比例します。
2、アカウント乗っ取り→サイト改ざん・マルウェア埋め込み
一度ログインされてしまえば、ハッカーは管理者権限を手に入れます。
彼らは何でもできます。サイトの内容を削除したり、トップページを過激なメッセージに書き換えたり、閲覧者のパソコンにウイルスを感染させるプログラム(マルウェア)を埋め込んだりします。
また、気づかれないように「バックドア(裏口)」を設置し、いつでも侵入できるようにすることもあります。
3、Googleブラックリスト登録とSEOペナルティ
ハッキングされたサイトは、Googleによって「危険なサイト」と認定されます。
検索結果には「このサイトはコンピュータに損害を与える可能性があります」という警告が表示され、誰もアクセスしなくなります。
最悪の場合、検索インデックスから完全に削除され、検索流入がゼロになります。
4、復旧コストが莫大になる
ハッキング被害からの復旧は、専門知識を要する非常に高額な作業です。
マルウェアの駆除、バックドアの特定と削除、データの復元などで、専門業者に依頼すると10万円〜100万円以上の費用がかかります。
さらに、サイトが停止している間の売上機会損失や、ブランドイメージの低下といった目に見えない損害は計り知れません。
5、顧客情報流出による法的責任
もしECサイトやお問合せフォームで顧客の個人情報(メールアドレス、住所、クレジットカード情報など)を扱っていた場合、それらが盗まれる可能性があります。
情報漏洩が発生すれば、法的責任を問われ、損害賠償請求や行政指導の対象となります。「パスワードが簡単だった」では済まされません。
よくある弱いパスワードの例
以下のようなパスワードを使っていませんか? これらはすべてハッカーにとって「鍵がかかっていない」のと同じです。
| よくある弱いパスワード | なぜダメか |
|---|---|
| 「admin」 | 最も狙われるパスワード第1位。 |
| 「password」 | 辞書攻撃でリストのトップにあるため即座に突破。 |
| 「123456」「12345678」 | 世界で最も使われている弱いパスワード。 |
| 「会社名」(例:sakura) | ドメイン名やサイト名から容易に推測可能。 |
| 「admin123」「pass1234」 | 「よくある単語+数字」のパターンは辞書に登録済み。 |
| 「qwerty」「asdfgh」 | キーボードの並び順。定番パターンとして試される。 |
| 「birthday」「name123」 | SNS等の公開情報から誕生日や名前は推測される。 |
| 8文字以下の英単語 | 文字数が少ないため、総当たり攻撃で短時間で突破。 |
強力なパスワードの条件
では、どのようなパスワードなら安全なのでしょうか。以下の5つの条件を満たすものを設定してください。
- 16文字以上にする(最低でも12文字。長ければ長いほど解読が困難になります)
- 大文字・小文字・数字・記号をすべて混ぜる(A-Z, a-z, 0-9, !@#$%^&* など)
- 辞書にある単語を使わない(”password”, “welcome” などの意味のある単語は避ける。ランダムな文字列が理想)
- 個人情報を含めない(名前、誕生日、会社名、電話番号など、推測可能な情報はNG)
- サイトごとに異なるパスワードにする(使い回しは厳禁。1つ漏れたら全て乗っ取られます)
強力なパスワードの作成・管理方法
「そんな複雑なパスワード、覚えられないよ」と思うかもしれません。
安心してください。パスワードは「覚える」ものではなく、「管理ツールに任せる」ものです。
強力なパスワードの作成方法
- 方法1:パスワードジェネレーターを使用(推奨)
WordPressのユーザー登録・編集画面で「強力なパスワードを使用」ボタンを押すと、自動的に複雑なパスワード(例:「kR8#mP2@vL5!nQ9」)が生成されます。これを使いましょう。 - 方法2:パスワード管理ツールを使用
1Password、Bitwarden、LastPassなどのツールを使えば、ボタン一つで強力なパスワードを生成・保存してくれます。 - 方法3:パスフレーズ方式
どうしても覚えたい場合は、関係のない単語を4〜5個つなげ、記号を混ぜる方法があります。
例:「Giraffe!Mountain@Ocean7#Cloud」(キリン!山@海7#雲)
これなら覚えやすく、文字数も十分長いため強力です。
パスワード以外のセキュリティ対策
パスワードを強くするだけでなく、以下の対策を組み合わせることで、セキュリティは鉄壁になります。
1、2段階認証(2FA)の導入
プラグイン「Wordfence」や「Google Authenticator」を導入し、パスワード入力後にスマホアプリに届く認証コードを入力しないとログインできないようにします。
これがあれば、万が一パスワードが漏れても不正ログインを防げます。
2、ログイン試行回数の制限
プラグイン「Limit Login Attempts Reloaded」などを使い、「3回ログインに失敗したら1時間ロックする」といった制限をかけます。
これにより、ボットによるブルートフォース攻撃(総当たり)を物理的に不可能にします。
3、管理画面URLの変更
プラグイン「WPS Hide Login」などを使い、ログインページのURLを /wp-admin から /my-secret-login などの独自のものに変更します。
攻撃対象となる入り口を隠すことができます。
4、定期的なパスワード変更
3〜6ヶ月ごとにパスワードを変更することで、万が一の流出リスクを最小限に抑えられます。
5、不要なユーザーアカウントの削除
退職したスタッフのアカウントや、テストで作った「test」ユーザーなどは即座に削除してください。使われていないアカウントは格好の侵入経路になります。
パスワードはサイトの「鍵」、簡単な鍵は無意味
WordPressのログインパスワードは、あなたの資産であるWebサイトを守る「鍵」です。
簡単なパスワードを設定することは、玄関のドアを開けっ放しにしているのと同じです。
被害に遭ってからでは遅すぎます。復旧にかかる数十万円のコストと、失われる社会的信用を考えれば、今すぐ行う対策の手間など微々たるものです。
今日から、鉄壁のセキュリティでサイトを守りましょう。
