いつもブログをご覧くださいまして、ありがとうございます。Webの相談所・メンバーの浅川です。

弊社・Webの相談所は「Five for the Future」に参画しており、私・浅川は WordPress.org サポートフォーラム上に投稿される様々な質問への回答を行う活動を日頃から行っております。
その活動を通じて、ウェブの運用に欠かすことのできない知識をこちらのブログでご紹介させていただきます。

今回は「WordPressのアカウント管理の注意点」についてです。

アカウント管理の重要性

WordPressサイトにおけるアカウント管理は、セキュリティ、運営の効率、ユーザー体験の観点から非常に重要です。適切なアカウント管理を怠ると、サイトがサイバー攻撃にさらされ、データの漏洩やサイトの運営停止といった重大なリスクが発生します。ここでは、アカウント管理の重要性、怠った場合のリスク、そして効果的な運用のためのベストプラクティスについて説明します。

単純なパスワードを使うことは絶対にやめましょう。

言わずもがなですが、単純なパスワードを使うことは不正アクセスのリスクを一気に増大させます。
WordPress のアカウントに限った話ではありませんが、SNSのアカウントを乗っ取られたり、ショッピングサイトで高額な購入をされたりと、短い・単純なパスワードを使って良いことは何もありませんので、短い・単純なパスワードを使う習慣のある方は見直された方が良いでしょう。

内閣サイバーセキュリティセンター(NISC)でも、英大文字+英小文字+数字+記号を組み合わせた10桁以上が推奨されています。

  • 桁数を増やす
  • 英大文字・英小文字・数字・記号等を複数組み合わせる
  • 意味の成す文字列を用いない
  • その他

パスワードマネージャーを活用する

複雑なパスワード設定の重要性はわかったけれど、それが難しいとお感じになる方もいると思います。複雑なパスワードを生成してくれて、Google Chromeブラウザに保存もできる「パスワードマネージャー」も活用してみてください。

長くて複雑なパスワードは覚えられないので、ついつい単純なパスワードや使い回しをしてしまう傾向がありますが、記憶することを諦めて、お使いのブラウザに記憶させれば解決します。

アカウントの使い回しは避けるべき

WordPress のアカウントですが、管理者権限のアカウントを複数人で使い回すことはおすすめできません。管理者の権限であれば、プラグインやテーマの追加・削除など、WordPress の操作全てが実行できてしまいます。

また、アクセス履歴や変更履歴の追跡が難しくなったり、使い回ししている場合には同時に作業ができず、コンフリクト(競合)が発生するなどのデメリットがありますから、原則として、WordPress を使う人数分を適切な権限でアカウントを用意すべきと思います。

管理者権限は、本来、WordPressサイトを管理する人だけに発行するようにして、記事(ブログ)を書くことが役割のライターさんには、編集者の権限を付与することをおすすめします。

退職者のアカウントは削除しましょう

企業などで運用している WordPress サイトの場合、記事を更新していた社員の方が退職したり、部署異動などで、WordPress サイトの運用の業務から外れることはあると思います。そのような場合、不要になったアカウントは削除しておきましょう。
アカウントが残っていて、管理されないままというのは、また不正アクセスのリスクを増やします。

操作手順としては以下の通りです。

  1. WordPress サイトに管理者でログインします。
  2. 管理画面左側のナビゲーションメニューの「ユーザー」->「ユーザー一覧」の順で選択します
  3. 削除する アカウントを確認して、「削除」ボタンをクリックします。

この時に注意いただきたいこととして、削除する WordPressアカウントで記事を書いていたり、サイトの更新作業をしている場合には、そのアカウントが所有しているコンテンツを他のユーザーに引き継いで(割り当てて)ください。
この操作をスキップしてしまいますと、その方が書いていたブログの記事(画像なども含む)が、サイト上から削除されてしまいますので、ご注意ください。

WordPressの管理画面からユーザーを削除しようとした時に表示されるメッセージ(サンプル)

上記のメッセージが表示されない時もあります。削除するアカウントは存在するけれど、記事を投稿したり、サイトを更新したりする作業を一切していない場合が該当します。(お仕事で WordPress のサイト運用を行なっている場合には該当しないと思います。)

削除ではなく、権限なしに変更することもアリ

メディアサイトなどで、記事下に執筆者などを表示している場合(WPユーザーから出力している場合)には、該当のアカウント削除して他の方に引き継いでしまうと、この執筆者の部分も変わってしまします。
そういったケースでは、記事下の執筆者情報は変更したくないけど、WordPressのアカウントを停止したいというニーズが出てきます。その場合には、該当ユーザーを削除するのではなく、権限グループを「 このサイトでの権限なし」に変更することで、解決します。

この場合、ログインはできますが、WordPress管理ページにはアクセスすることができません。

中規模以上の WordPressサイトはアカウント管理も定期的なメンテナンスを

複数人のアカウントが必要な会社のサイト、外部のライターさんが数多く参加することになるメディアサイトなどの WordPressサイトについては、アカウント管理も定期的なメンテナンス業務の中に組み込むことをおすすめします。

まとめ

WordPressサイトにおけるアカウント管理は、セキュリティの強化、サイトの運用効率、そしてリスク軽減のために欠かせません。
次回以降で、2段階認証(2FA)の導入などの今回の記事では触れていない技術に関してもご紹介したいと思います。

Follow me!