大まかに言えば、WordPressの「ソルト」は、ユーザーのパスワードを安全に保存して認証するWordPressサイトを安全に保つ便利な手段です。
本記事では下記について説明します。
WordPressのソルトとは?
WordPressの「ソルト」は、セキュリティキーとともに、WordPressサイトのログインを保護する暗号化ツールです。
具体的に言うと、ソルトとセキュリティキーは、WordPressがログインに使用するクッキーの中にある情報を保護します。
WordPressにログインすると、ユーザー名とパスワードを毎回入力せずに済む「ログインしたままにする」オプションがあります。これを実現するために、WordPressは、PHPセッションを使用するのではなく、クッキーにログイン情報を保存します。
これはユーザーにとって非常に便利ですが、ブラウザのクッキーがハッキングされた場合、セキュリティ上の問題が発生する可能性があります。
これを予防するために、WordPressはソルトとセキュリティキーを使用してログイン情報を保護し、悪意のある人が触れないようにします。悪意のある攻撃者が推測すできない「追加の」パスワードのようなものだと考えてください。
このような重要な役割を果たしているため、WordPressのソルトとセキュリティキーを誰にも教えないでください。
WordPressのソルトの場所
WordPressには、デフォルトで独自のソルトとセキュリティキーが付属しています。場所はサイトのwp-config.phpファイルです。合計8つのキーがあります。
- 最初の4つの項目はセキュリティキーです。
- 最後の4つの項目はWordPressのソルトです。
WordPressのソルトの概要
WordPressサイトのパスワードが「mypassword」であるとしましょう。(最悪のパスワードですが、今回の説明の目的に合っています。)
ログインするには、ユーザー名とパスワードを入力します。 次に、WordPressはログインしたままにするためにその情報を2つのブラウザークッキーに保存します。(この情報はサイトのデータベースにも保存されます。)
ただし、WordPressがパスワード(「mypassword」)をそのまま保存すると、悪意のある攻撃者がすぐに見ることができます。これは、パスワードを「プレーンテキストで保存する」と言います。セキュリティに関して言えばやってはいけないことです。
セキュリティキーとソルトは、このプレーンテキストのパスワードを、キーやソルトにアクセスせずにリバースエンジニアリングすることの不可能なランダムな文字列に切り替えて暗号化することにより、上記の問題を予防します。
ログインする際に「mypassword」と入力しても、WordPressはパスワードを「hsd78q34%7832 $ 4jkhkjsfd78782 ^^ 429nsdf」などに変換して保存します。
ソルトとセキュリティキーにアクセスできない限り、実際のパスワードに変換することの不可能なランダムな文字列です。
WordPressのソルトとセキュリティキーを変更する必要がありますか?
デフォルトでは、新しいWordPressのインストールには独自のキーとソルトのセットが割り当てられているため、何も設定しなくてもWordPressサイトは非常に安全です。
ただし、定期的にソルトとキーを変更することを検討する理由がいくつかあります。
コンセプトは、キーとソルトを定期的に変更することにより、悪意のある攻撃者がソルトを手に入れるのをさらに難しくすることです。
さらに、ソルトを変更すると、サイトにログインしているすべてのユーザーが自動的にログアウトされ、再度ログインするように強制されます。これも大きな利点です。 たとえば、公的にアクセス可能なコンピューターでログインして誤ってログアウトするのを忘れた場合、アカウントが自動的にログアウトされると、誰もアクセスできないようになります。
WordPressのソルトを変更する方法(2つの方法)
WordPressでソルトを変更するには主に2つの方法があります。
上記の二つのアプローチの実行手順は下記のとおりです。
WordPressのソルトを手動で変更する方法
サイトのソルトを手動で変更するには、FTPを使用してサイトのサーバーに接続し、wp-config.phpファイルを編集します。やり方がわからない方は、こちらのKinstaでSFTPを使用する方法についての記事をご確認ください。
接続したら、WordPress.orgの公式のソルトジェネレーターにアクセスしてください。このページは、上記のようなソルトとセキュリティキーをランダムに生成します。4つのセキュリティキーと4つのソルト(合計8つ)が生成されます。
次に、wp-config.phpファイル内の既存のキーを削除し、WordPress.orgのソルトジェネレーターからのキーを貼り付けて置き換えます。
完了すると、以前とまったく同じ見た目になるはずです。ランダムな文字列が異なるだけです。
必ず変更を保存し、必要に応じてwp-config.phpファイルを再アップロードしてください。
WordPressのソルトをプラグインで変更する方法
上記の手動による手順の代わりに、プラグインを使用してもサイトのソルトを変更することができます。
人気のある無料のSalt Shakerプラグインは手動の方法よりも1つの利点があります。
指定した頻度でソルトを自動的に変更するように設定できます。もちろん、単にソルトを手動で変更するためにも使用できます。
プラグインをインストールしてアクティブにしてから、「ツール」→「Salt Shaker」に移動します。
ソルトをすぐに手動で変更する場合は、「Change Now」ボタンをクリックします。
または、「Scheduled Change」機能を使用して、次のいずれかの頻度でソルトを自動的に変更することも設定できます。
- 日一回
- 週一回
- 月一回
- 3か月に一回
- 6か月に一回
WordPressセキュリティプラグインの中には、iThemes SecurityなどのWordPressのソルトを簡単に変更できる機能が含まれているものもあります。
まとめ
WordPressのソルトとセキュリティキーは、サイトのログインプロセスと、WordPressがユーザー認証に使用するクッキーを保護するものです。
サイトにはデフォルトで独自のソルトとキーのセットがあるため、ソルトを利用するために何も設定する必要はありません。
ただし、悪意のある攻撃者がソルトにアクセスできないようにソルトを定期的に変更することには、セキュリティ上の利点があります。
ソルトを変更するには、WordPress.orgのソルトジェネレーターを使用してwp-config.phpファイルを手動で編集するか、Salt Shakerなどの無料のプラグインを使用します。
