MENU
現役Webライターの記録帖 ─ ちょっと役立つ、かもしれないブログ
  1. ホーム
  2. ■テクノロジー・デジタル活用
  3. ウェブ制作とWordPress
  4. パスワード管理WordPressをメモ代わりに使うのは危険!安全なパスワード管理の始め方

パスワード管理WordPressをメモ代わりに使うのは危険!安全なパスワード管理の始め方

ウェブ制作とWordPress
記事内に商品プロモーションが含まれる場合があります。
パスワードを『下書き』に残してない?

「便利だから」とWordPressにパスワードをメモ代わりに保存していませんか?

「レンタルサーバーをオンラインストレージ代わりに使用するのは危険」というXの投稿を先日見かけました。WordPressに精通した信頼できる方の投稿だったので、非常に気になりました。

そこで、この投稿をきっかけに「なぜ下書きやサーバにパスワードを置くのは危険なのか」と「安全に管理する方法」を改めて整理してみました。

目次

WordPressにパスワードを置くのはなぜ危険?

himetei

実は私、WordPressのサブドメインに記事の下書きをを置いていて、あろうことか!!ついでにパスワードのメモまで保存してたんですよね。

銀行口座のパスワードこそさすがに入れていませんが、アプリのログイン情報などは、スマホやパソコンを行き来するたびに入力するのは面倒だし、『まあ、下書きだし大丈夫でしょ』なんて軽く考えていたけど、これは危ないかも…と思い直しました。

今思えば、完全にアウトでした。

1. 下書きは完全に非公開ではない

  • 下書きURLが推測される可能性がある
  • プラグインの脆弱性で閲覧されることがある
  • サーバのハッキングで情報が漏れる可能性も

普通の運営では滅多にありませんが、ID・パスワード・APIキーなど重要情報を置くのは危険です。

2.WordPressはパスワード保管用の設計ではない

WordPressは記事を書くためのツールです。
場合によってはデータベースに平文(ひょうもん)で保存されることもあり、漏れれば丸見えになります。

「平文(ひょうもん)で保存される」とは?

「平文」とは、暗号化されていないそのままの文字のことです。

たとえば、パスワード「mypassword123」をデータベースにそのまま保存すると、それがそのまま文字として見えてしまう状態です。

一方で、暗号化されていれば「$2a$10$EixZaYVK1fsbw1ZfbX3OXe…」のように、人間が見ても何のパスワードか分からない形になります。

レンタルサーバは外から見える場所

レンタルサーバは「インターネット上にある自分のパソコンのような場所」です。なので、サーバにファイルを置くと、ネットにつながっている人なら誰でもアクセスできる可能性があります。

たとえば、写真やパスワードをサーバに置くと、URL(アドレス)を知っている人は誰でも見られてしまうかもしれません。

そのため、サーバに置くものは公開しても問題ないものだけにするのが安全です。

知らないとヤバい!パスワードを置いてはいけない場所

  • WordPressの下書きに「ログインID」「パスワード」「銀行情報」「APIキー」をメモ
  • レンタルサーバの /public_htmlpassword.txt を置く
  • プラグインのバックアップにパスワードを入れてしまう

これらは、ハッキングやURL推測などで簡単に漏れてしまう可能性があります。

WordPressがハッキングされちゃったかも?

サイトでこんなことが起きたら要注意です。

  • いつの間にか別のサイトに飛ばされる
  • 見覚えのないリンクや広告が出てくる
  • ページの表示がやたら遅い
  • ポップアップ広告が突然出る

「ちょっと変だな…」と思ったら、早めにチェックしてみましょう。小さな違和感も、ハッキングのサインかもしれません。

Googleの「サイト ステータス」では、URLを入力するだけで、そのサイトが安全かどうか確認できます。

やばいかも…!?パスワード管理を今すぐ始めるべきワケ

パスワードについて、丁寧に説明してある動画がありましたので貼っておきます。

5分でわかる無料パスワードアプリ

【2021最新版】無料パスワード管理アプリ【Bitwarden】の使い方https://youtu.be/otrMrOFDb64

パスワードを安全に管理しよう!

では安全に管理するにはどうしたらよいのか?という事ですよね。

安全にパスワードを管理するには、パスワード管理アプリを使うのが安心です。

  • Bitwarden
  • 1Password
  • KeePass
  • Googleパスワードマネージャー

これらは、どれも暗号化されているので、外部から見られる心配がありません
無料で使えるものも多く、複数の端末で同期できるので便利です。

日本語UIがある/日本語対応がよく、無料で使いやすいパスワード管理ツール を3つ紹介します。

日本語対応+無料で使いやすいパスワード管理ツール3選

Bitwarden

  • 日本語に対応しており、UIも使いやすい。
  • 無料プランでも無制限のアイテム(ログイン情報など)を保存可能。
  • エンドツーエンド暗号化を採用しており、高いセキュリティ。
  • 複数デバイス(PC・スマホ・ブラウザ)で同期できる。

KeePass

  • 完全無料・オープンソースの定番ツール。
  • 日本語化も可能。メニューから日本語を選択すれば日本語UIになる。
  • ローカル(自分のPCなど)にデータベースを持てて、クラウドを使わずに管理できる。
  • マスターパスワードやキーファイルで暗号化ができ、セキュリティ性が高い。
  • ただし、クラウド同期は自分でDropboxやGoogle Driveなどを使って構成が必要。

Google パスワード マネージャー

  • Google アカウントに紐づくパスワード管理機能。
  • ブラウザ(Chrome等)やスマホで使える。
  • UIは完全に日本語対応。
  • 完全無料(Googleアカウントを持っていれば追加費用なし)。
  • ただし、パスワードマネージャ専用アプリというよりは「ブラウザ+スマホ内臓管理機能」に近いため、高機能な専用アプリと比べると細かい設定や共有機能は劣る。

💡 どれを選べば良い?おすすめポイント

総合的に使いやすさ・安全性を重視 → Bitwarden

完全無料+自分で管理したい → KeePass

Google をよく使っていてシンプルに管理したい → Google パスワードマネージャー

私は、使いやすさと安全性の両方を重視して、Bitwardenを選びました。

🔍ちょっと注意!Bitwardenを便利に使うための落とし穴

「これはいい!」と思って、さっそくiPhoneとiPadにBitwardenを導入してみたのですが、ひとつ気づいたことがあるので先に共有します。

YouTubeで紹介されていた設定通りに、パスワードの自動入力をBitwardenに変更すると、ログインのたびにメインパスワードを求められるんです。
以前はiPhoneの「Passwords」アプリ(App Storeで管理している標準のパスワード機能)を使っていたので、何もしなくても自動でサッと入力されてとても楽でした。

ところが、Bitwardenに切り替えた途端、毎回メインパスワードの入力が必要で、これが正直ちょっと面倒…。

そのため、私はBitwardenは 「パスワードの管理」と「パスワードの生成」だけに利用する ことにしました。
自動入力は、これまで通りiPhone標準の「パスワード」機能に任せたほうがスムーズです。

iPhone・iPadをお使いの方は、自動入力の設定画面のチェックに注意してください。

この画面で、Bitwardenだけにチェックを入れてしまうと、
ログインのたびにBitwardenのメインパスワードを求められてしまい、かなり手間になります。

画像のように、
🔹標準の「パスワード」にチェックを入れておく
🔹Bitwardenはオフのままにしておく
というのが、日常使いには一番ラクでおすすめです。

Bitwardenの使い方:初心者でも安心なパスワード管理

Bitwardenは無料でも安全に使えるパスワード管理アプリで、日本語UIにも対応しています。

1. Bitwardenとは?

Bitwardenは、パスワードやログイン情報を暗号化して安全に保存できるツールです。

  • 無料で使える
  • 日本語対応
  • PC・スマホ・ブラウザで同期可能
  • エンドツーエンド暗号化で外部から見られない
Bitwardenの使い方

スマホ・タブレットは以下から登録

対応デバイス

  • iOS(iPhone/iPad)対応アプリが公式に提供されています。 App Store+2Bitwarden+2
  • Android 対応アプリも Google Play で提供されています。 Google Play+1
  • また、タブレット(iPad や Android タブレット)でも動作可能

2. アカウントを作りましょう

公式サイトにアクセスします。

Bitwarden公式

「開始する」または「無料で始める」をクリック

メールアドレス、マスターパスワード、ユーザー名を入力

マスターパスワードは絶対に忘れないように!

Bitwardenではこのパスワードだけで全データを暗号化・復号します

【希望するサーバーの場所の選択は?】

bitwarden.com → アメリカのサーバー。世界中のユーザー向けで、サポートや機能が充実している。日本でもほとんどの人はこちらを使います。
bitwarden.eu → ヨーロッパのサーバー。EUの個人情報保護法(GDPR)に対応したい人や企業向け。

登録したメールを確認してみましょう。「メールを確認する」をクリック→認証が完了。

登録が完了

3. デバイスにアプリをインストール

それぞれのデバイスにアプリをインストールしておきましょう。


PCブラウザ版:ChromeやFirefoxの拡張機能で使用可能
スマホアプリ:iOS/Android対応
デスクトップアプリ:Windows、Mac、Linux
同じアカウントでログインすれば、自動でデータが同期されます。

5. パスワードを生成する

多くの人は、つい弱いパスワードを使い回しがちです。

でも、それをそのままパスワードマネージャーに保存しても、あまり意味がありません。せっかくなら、この機会にすべてのアカウントで「強力なパスワード」を作り直して、パスワードマネージャーに任せてしまうのがおすすめです。

安全性がぐっと上がります。

パスワード生成」機能

  • 新しいアカウント作成時に「パスワード生成」機能を使うと、安全なランダムパスワードが作れます
  • 長さや文字種を自由に設定可能
  • 手作業でパスワードを考えるよりずっと安全です。

パスワードを保存する

  1. Bitwardenを開き「新しいアイテムを追加」
  2. 保存するサイトのURL、ユーザー名、パスワードを入力
  3. タイプを「ログイン」に設定して保存
  • 保存したパスワードは自動で暗号化されます
  • ブラウザ拡張を入れると、ログイン画面で自動入力が可能

セキュリティを高める設定をしておきましょう

  • 2段階認証(2FA)の設定
    • Google Authenticatorなどの認証アプリと連携可能
    • マスターパスワードだけでなく、追加の確認コードが必要になり安全性アップ
  • マスターパスワードの強化
    • 長くて推測されにくいものにする
    • メモはBitwardenに保存(紙やPCに残さない)

Bitwardenは、初心者でも、アカウント作成→保存→自動入力→2段階認証の順に設定すれば、すぐ安全に使い始められます。

  • 全てのパスワードを安全に管理
  • 複数デバイスで同期可能
  • パスワード生成と自動入力で安全かつ便利

💡ポイント:マスターパスワードだけは絶対に忘れないこと!

まとめ

WordPressやレンタルサーバを「メモ帳代わり」に使うのは、セキュリティ上とても危険です。

🔒 大切なIDやパスワードは、必ずパスワード管理アプリにまとめて保管しましょう。

もし今まで下書きにパスワードを書いていた場合は、すぐに削除してパスワードを変更することをおすすめします。

ウェブ制作とWordPress
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

目次