今回はWordPressのセキュリティ関連の設定項目の一つ、認証用ユニークキー(Authentication Unique Keys and Salts)についてご明いたします。
目次
認証用ユニークキーとは?
WordPressサイトにログインすると、ブラウザのCookieにログイン情報が保存されます。これにより、ページを再読み込みしたり、ブラウザを一度閉じてから再びサイトを訪れても、再度ログインすることなくサイトを操作できます。
認証ユニークキーは、こうしたログイン情報を含むCookieやセッションのデータを暗号化するために使われるランダムな文字列です。
具体的には、サイトのルートディレクトリにある「wp-config.php」内に設定されています。
例)56~63行目が認証用ユニークキー
認証用ユニークキーが設定されていない理由
通常、WordPressをインストールすると、認証用ユニークキーは自動で設定されます。
しかし、一部のレンタルサーバーの自動インストール機能を使用した場合などでは、認証用ユニークキーが設定されないことがあります。
具体的には、キーが空欄のままだったり、初期設定の「put your unique phrase here」がそのまま残っているサイトを度々見かけます。
例)初期値の「put your unique phrase here」をそのまま使用しているケース
このような設定でサイトを運営していると、ログイン情報などが漏洩するリスクが高くなります。そのため、必ず自社サイト専用のキーを設定することが重要です。
もし自社サイトの設定が上記のようになっている場合は、早めに対応することをおすすめします。
修正はとても簡単ですので、以下に説明する方法を参考にして作業を進めてみてください。
認証用ユニークキーの設定手順
それでは、認証用ユニークキーの設定手順をご説明いたします。
- サイトのルートディレクトリ(wp-contentと同じ階層)に保存されている「wp-config.php」をダウンロードし、テキストエディタ(メモ帳等)を使って開きます。
- 「wp-config.php」内に記載されいている、下記URLをコピーします。
- コピーしたURLをWebブラウザで開きます。
- ブラウザに表示された文字列を全てコピーし、wp-config.phpの該当箇所に上書きします。
- wp-config.phpをサーバーにアップロードして完了です。
作業後は、WordPressにログインできることを必ず確認してください。
認証用ユニークキーの更新
認証用ユニークキーは、特別な状況でない限り、頻繁に変更する必要はありません。しかし、以下のようなケースでは、早急に新しいキーに交換することをおすすめいたします。
既存のサイトをコピーして、新たにサイトを構築した場合
ウェブサイトのセキュリティを保つためには、認証用ユニークキーを他のサイトと共有しないことが非常に重要です。既存サイトのデータをコピーして、新たなサイトを構築する場合には、必ず新しいキーに差し替えを行いましょう。
サイトがハッキング、マルウェア感染の被害を受けた場合
認認証用ユニークキーが変更されると、サイトに保存されているログイン情報が無効になります。これにより、不正なユーザーが以前のログイン情報を使ってサイトにアクセスすることができなくなります。
WordPressのログインアカウントが盗まれたり、不正なユーザーを外部から登録された場合には、必ず認証用ユニークキーを変更しましょう。
まとめ
認証用ユニークキーは、WordPressのセキュリティ設定において必ず設定すべき項目の一つです。
既にサイトを運用している方は、自社のサイトは正しく設定されているかの確認をおすすめいたします。
