「admin」「password」「会社名123」・・・
あなたのWordPress(ワードプレス)のパスワード、まさかこんな文字列を使っていませんか?
WordPress(ワードプレス)は世界中のWebサイトの43%で使われている、最もメジャーなシステム(CMS)です。
しかしメジャーである分、ハッカーやボットの最大の標的でもあります。
簡単なパスワードを設定したまま運用するのは、「現金が詰まった金庫の鍵を開けっぱなしにして、大通りに放置している」のと同じことです。
知っておくべき重要な事実
ハッカーが行う「ブルートフォース攻撃(総当たり攻撃)」では、「admin + password」の組み合わせは0.001秒未満で突破されます。
「abc123」は1秒未満、8文字以下の一般的な英単語であっても、数時間〜数日あれば解読されてしまいます。
パスワードは、あなたのサイトを守る「唯一の鍵」です。
その鍵が簡単に複製できるものなら、ある日突然サイトを乗っ取られ、ビジネス全体が崩壊するリスクを抱えていることになります。
今回は、パスワードの甘さが招く悲劇と、完璧な防御策について解説します。
ワードプレスが狙われる理由と攻撃の実態
「うちみたいな小さなサイト、ハッカーがわざわざ狙うわけがない」
そう思っていませんか? 現実は全く違います。彼らは手作業で狙っているわけではないのです。
ワードプレスは「コスパ最強の標的」
世界のWebサイトの多くがワードプレスで作られています。
ハッカーからすれば、ワードプレスの弱点を突くプログラムを1つ作れば、世界中の何千万というサイトを自動で攻撃できるため、最も「コスパよく攻撃できるプラットフォーム」なのです。
ブルートフォース攻撃(総当たり攻撃)の恐怖
ハッカーは「ボット」と呼ばれる自動プログラムを使い、ログイン画面に対して「ID」と「パスワード」の組み合わせを何万・何百万通りも秒速で試し続けます。
世界中のワードプレスに対し、毎日何千万回もこの攻撃が発生しており、24時間365日、あなたのサイトの扉も叩かれ続けています。
デフォルトのユーザー名「admin」は最悪
WordPressをインストールした際のデフォルトのユーザー名「admin」。
これをそのまま使っていると、攻撃者は「ユーザー名を当てる手間」が省け、パスワードだけを全力で解読すればよくなります。防御力が半減している状態です。
簡単なパスワードを使い続けると損する5つの理由
パスワードを突破され、管理者権限を奪われると、以下の悲劇があなたを襲います。
1、サイトが乗っ取られる
管理画面に入られた瞬間、あなたの管理者権限は剥奪され、二度とログインできなくなります。数年かけて書いた記事も、顧客リストも、一瞬で他人のものになります。
2、マルウェアを仕込まれてお客様に被害が及ぶ
サイトにウイルス(マルウェア)を仕込まれ、アクセスした読者のパソコンを感染させたり、偽サイトに誘導されたりします。あなたは被害者であると同時に、「加害者」になってしまいます。
3、Googleに「危険なサイト」と認定されSEOが壊滅する
マルウェアが検出されると、Googleの検索結果に「このサイトはコンピュータに損害を与える可能性があります」と警告が出ます。検索順位は一気に圏外へ吹き飛び、SEOの努力が水の泡になります。
4、復旧コストが莫大になる
乗っ取られたサイトを復旧させるには、専門のセキュリティ業者に依頼するしかありません。被害調査と復旧で、安くても10万円、重症なら50万円以上のコストが飛びます。
5、個人情報漏洩で法的責任を負う
ECサイトの顧客情報や、お問い合わせフォームの個人情報が流出すると、個人情報保護法に基づく報告義務が生じます。顧客への損害賠償や、悪評によるブランド失墜のダメージは計り知れません。
よくある危険パスワードの例
もしあなたのパスワードがこの表にあるなら、今すぐ変更してください。
| パスワードの例 | 突破にかかる時間 | リスクレベル | なぜ危険か |
|---|---|---|---|
| admin | 0.001秒未満 | 極めて高 | デフォルト設定のまま。攻撃者のリストの1行目にある。 |
| password | 0.001秒未満 | 極めて高 | 世界で最も使われている危険なパスワード第1位。 |
| 会社名・店名(例:yamada) | 数秒〜数分 | 極めて高 | 攻撃者はサイトのドメイン名や会社名をベースに最初に試す。 |
| abc123 / 123456 | 1秒未満 | 極めて高 | キーボードの配列順や単純な数字列は即座に突破される。 |
| 8文字以下の英単語 (例:welcome) | 数時間〜数日 | 高 | 辞書に載っている単語を片っ端から試す「辞書攻撃」の餌食。 |
| 誕生日(例:19850312) | 数時間 | 高 | SNS等の個人情報から簡単に推測される。 |
| 電話番号・郵便番号 | 数分〜数時間 | 高 | サイトの「会社概要」に載っている数字は必ず試される。 |
| 12文字以上のランダム文字列 (例:kR8#mP2@vL5!nQ9) | 数億年 | 極めて低 | 文字種が混ざった長い文字列は、現代のコンピュータでも解読不能。 |
強いパスワードを作る5つのルール
絶対に突破されない「鉄壁のパスワード」を作るためのルールです。
- ① 16文字以上にする: 最低でも12文字。長ければ長いほど解読時間は天文学的に延びます。
- ② 大文字・小文字・数字・記号を必ず混ぜる: 例:
kR8#mP2@vL5!nQ9 - ③ 辞書に載っている単語を使わない: 意味のある英単語や、日本語のローマ字表記は辞書攻撃で破られます。
- ④ 個人情報を含めない: 会社名、自分の名前、誕生日、電話番号は絶対に使ってはいけません。
- ⑤ 他のサービスと使い回さない: 1つのサイトで漏洩したら、すべてのサイトが芋づる式に乗っ取られます。「1サービス1パスワード」が鉄則です。
おすすめ:パスフレーズ方式
ランダムな文字列を覚えられない場合は、無関係な単語と記号を組み合わせた「パスフレーズ」がおすすめです。
例:Giraffe!Mountain@Ocean7#Cloud
(キリン・山・海・雲)のように、意味はあっても文章として成立しない長い文字列は、覚えやすく非常に強固です。
パスワードセキュリティ チェックリスト
今すぐ、あなたのWordPressの鍵の強度を確認してください。
- □ パスワードは12文字以上か?(推奨は16文字以上)
- □ 大文字・小文字・数字・記号がすべて混在しているか?
- □ 会社名・店名・ドメイン名・誕生日を含んでいないか?
- □ 他のサービスと同じパスワードを使い回していないか?
- □ ユーザー名が「admin」のままになっていないか?
- □ 二段階認証を設定しているか?
まとめ
パスワードは、あなたのサイトとビジネスを守る「砦」です。
簡単なパスワードを使い続けることは、「砦の壁を自ら崩して敵を招き入れる」行為に他なりません。
セキュリティ対策は決して難しくありません。
今日たった1時間だけ時間を確保して設定を行うだけで、今後何年にもわたる安心と完璧なセキュリティが手に入ります。
