MENU
Web制作・WordPress歴15年|広告編集・カメラ・AIまで実体験で綴るブログ
  1. ホーム
  2. ■テクノロジー・デジタル活用
  3. パソコン便利帳
  4. やってた…WordPressの下書きにパスワードをメモしていた私の反省と安全管理の始め方

やってた…WordPressの下書きにパスワードをメモしていた私の反省と安全管理の始め方

パソコン便利帳
記事内に商品プロモーションが含まれる場合があります。
パスワードを『下書き』に残してない?

WordPressの下書き、パスワードのメモに使ってませんか? 実は私、やってました。

アプリのログイン情報をサブドメインの下書きにこっそりメモしていたんです。「下書きだし、公開されてないし大丈夫でしょ」と高をくくっていたのですが…これ、完全にアウトでした。

きっかけは「レンタルサーバーをオンラインストレージ代わりに使用するのは危険」というXの投稿。WordPressに精通した方の言葉だったので、ドキッとして改めて調べ直しました。この記事では「なぜ危ないのか」「どうすれば安心なのか」を、失敗した当事者として書いていきます。

目次

WordPressの下書きにパスワードを置くのはなぜ危ない?

himetei

私がやっていたのは、WordPressのサブドメインにパスワードのメモを保存することでした。銀行口座のパスワードはさすがに入れていませんでしたが、アプリのログイン情報程度なら…と軽く考えていたんですよね。今思えば、完全にアウトでした。

1. 下書きは「非公開」じゃない場合がある

  • 下書きのURLが推測される可能性がある
  • プラグインの脆弱性で意図せず閲覧されることがある
  • サーバーがハッキングされると情報ごと漏れる

普通に運営していれば滅多に起きませんが、ID・パスワード・APIキーといった重要情報を置くのはリスクがあります。「たぶん大丈夫」が通用しないのがセキュリティの世界です。

2. WordPressはパスワードを保管するための設計ではない

WordPressはあくまで「記事を書くためのCMS」です。場合によってはデータベースに平文(暗号化されていないそのままの文字)で保存されることもあり、漏れれば丸見えになります。

「平文(ひらぶん)で保存」ってどういうこと?

暗号化されていない、そのままの文字列のことです。たとえば「mypassword123」というパスワードがそのままデータベースに書き込まれている状態。誰かがデータベースを覗いたら一発でわかってしまいます。

一方、暗号化されていれば「$2a$10$EixZaYVK1fsbw1ZfbX3OXe…」のように変換されるため、見ても何のパスワードか判別できません。

3. レンタルサーバーは「外から見える場所」にある

レンタルサーバーは、インターネット上に置いた自分のパソコンのようなものです。URLさえわかれば誰でもアクセスできる可能性があります。

/public_html 内に password.txt を置く、バックアップファイルにパスワードを含める——こういった行為は、鍵をドアの前に置いておくようなものです。

こんな症状が出たら要注意:ハッキングのサイン

  • 気づいたら別のサイトに飛ばされる
  • 見覚えのないリンクや広告が出ている
  • ページの表示が急に重くなった
  • 突然ポップアップ広告が出るようになった

「なんかおかしいな?」と感じたら早めにチェックを。Googleの「サイト ステータス」では、URLを入力するだけでサイトの安全性を確認できます。

パスワードを置いてはいけない場所のまとめ:WordPressの下書き・固定ページ、レンタルサーバーの public_html 内、プラグインのバックアップファイル。これらは情報漏洩の温床になりやすい場所です。

パスワードの安全な管理、どうすればいい?

答えはシンプルで、パスワード管理アプリを使うことです。暗号化されているので外部から見られる心配がなく、複数端末で同期できるので利便性も高い。何より「記憶から解放される」という感覚が、使ってみると本当に大きかったです。

主なパスワード管理アプリを紹介します。

日本語対応・無料で使いやすいパスワード管理アプリ3選

Bitwarden(ビットウォーデン)

  • 日本語UI対応・無料プランで無制限に保存可能
  • AES-256ビット暗号化+ゼロ知識方式で高セキュリティ
  • PC・スマホ・ブラウザ拡張機能で複数デバイス同期
  • オープンソースで透明性が高い

KeePass(キーパス)

  • 完全無料・オープンソースの定番ツール
  • データをローカル(自分のPC)に保存でき、クラウドに頼らない
  • マスターパスワード+キーファイルで強固な暗号化が可能
  • 複数デバイス同期にはDropboxやGoogle Driveの自前設定が必要

⚠️ KeePassについて:2025年初頭に悪意ある改ざんコピーが出回る事案が報告されています。ダウンロードは必ず公式サイトから行ってください。
Windows版:keepass.info Mac版:keepassx.org

Google パスワードマネージャー

  • Googleアカウントと連携、完全無料
  • ChromeやスマホでそのままUIが日本語で使える
  • 専用アプリというよりブラウザ・OS統合機能に近い位置づけ
  • 細かい設定や共有機能は専用アプリより控えめ

💡 どれを選ぶ? 用途別の選び方

総合的な使いやすさ・安全性を重視したい → Bitwarden
クラウドを使わずローカルで自己管理したい → KeePass
GoogleをすでにフルActivityで使っている → Googleパスワードマネージャー

私はBitwardenを選びました。使いやすさと安全性のバランスが、一番しっくりきたので。

実際に使ってみてわかったこと:よかったこと・面倒だったこと

Bitwardenを導入して数ヶ月。正直なところ、いいことばかりではありませんでした。使って気づいたことを両面からお伝えします。

✅ よかったこと

① パスワードを”覚えなくていい”解放感
これが一番大きかったです。今までは似たようなパスワードを使い回したりメモしたりしていましたが、Bitwardenに任せてからは完全に「記憶からの解放」。長くて複雑なパスワードも自動生成してくれるので、セキュリティ面でも安心感が段違いです。

② 自動入力がとにかく快適
ログイン画面でワンタップするだけ。IDとパスワードを探してコピペする手間がなくなりました。特にスマホでの入力ストレスが激減したのは大きいです。

③ 複数デバイスで同期できる安心感
PC・スマホ・タブレット、どこでも同じ情報にアクセスできるのが便利。「あのパスワードどこだっけ?」が完全に消えました。

④ セキュリティ意識が自然と上がる
使い回しが危険なことや、長くてランダムなパスワードが安全なことが、使ううちに習慣化されます。気づけば全体のセキュリティレベルが底上げされていた感覚があります。

⚠️ 面倒だったこと

① 最初の登録がとにかく大変
これが一番のハードルでした。今まで使っていたサービスを一つひとつ洗い出して、ログインして、保存して…正直かなり地道な作業です。一気にやろうとせず、気づいたときに少しずつ登録するのがおすすめです。

② マスターパスワードのプレッシャー
Bitwardenは「マスターパスワード一発勝負」。忘れると詰むので、ここだけは絶対に覚えておかないといけないプレッシャーがあります。紙に書いて鍵のかかる場所に保管、というアナログな保険も有効です。

③ 慣れるまでちょっと戸惑う
自動入力されない、保存のタイミングがわからない、など最初は小さなストレスがありました。ただ、数日〜1週間ほどで慣れます。

🔍 iPhoneユーザーへ:Bitwardenの自動入力に注意!

「これはいい!」と思ってiPhoneとiPadにBitwardenを導入したのですが、ひとつ気づいたことがあるので先にお伝えします。

YouTubeで紹介されていた設定通りにパスワードの自動入力をBitwardenへ切り替えると、ログインのたびにメインパスワードを求められるんです。以前はiPhone標準の「パスワード」アプリを使っていたので、何もしなくてもサッと入力されて楽でした。

Bitwardenに切り替えた途端、毎回メインパスワードの入力が必要になって、これが正直かなり面倒…。

そのため私は、Bitwardenは「パスワードの管理・生成」だけに使うことにしました。自動入力はiPhone標準の「パスワード」機能に任せる、という使い分けが結局一番ラクでした。

iPhoneのパスワード自動入力設定画面。標準の「パスワード」にチェックを入れ、Bitwardenはオフにした状態

この画面でBitwardenだけにチェックを入れると、ログインのたびにメインパスワードが要求されて手間になります。

🔹 標準の「パスワード」にチェックを入れておく
🔹 Bitwardenはオフのままにしておく

これが日常使いには一番スムーズな設定です。

Bitwardenの始め方:アカウント作成からパスワード保存まで

Bitwardenは無料で使えるパスワード管理アプリで、日本語UIにも対応しています。設定の流れを順に見ていきましょう。

Bitwardenとは

Bitwardenは、パスワードやログイン情報をAES-256ビット暗号化で安全に保存できるオープンソースのツールです。ゼロ知識方式を採用しており、Bitwarden社側でもあなたのパスワードを閲覧できない仕組みになっています。

  • 無料プランでパスワードを無制限に保存
  • 日本語対応
  • PC・スマホ・ブラウザ拡張で全端末同期
  • 外部から内容を見られない暗号化設計
Bitwarden公式サイトのトップ画面(2025年11月時点)

対応デバイス

BitwardenのスマホアプリをApp Storeで表示した画面

アカウントを作成する

Bitwarden公式サイトにアクセスして「開始する」または「無料で始める」をクリック。

Bitwarden登録画面「開始する」ボタン(2025年11月時点)

メールアドレス・マスターパスワード・ユーザー名を入力します。マスターパスワードは絶対に忘れないように! Bitwardenはこのパスワードだけで全データを暗号化・復号します。

Bitwardenのマスターパスワード設定画面(2025年11月時点)

【サーバーの場所の選択について】
bitwarden.com(アメリカ)→ 日本を含む世界中のユーザー向け。機能・サポートが充実。ほとんどの方はこちらでOK。
bitwarden.eu(ヨーロッパ)→ EUのGDPR対応が必要な方・企業向け。

登録後、確認メールが届くので「メールを確認する」をクリックして認証完了。

Bitwardenのメール認証確認画面(2025年11月時点)
Bitwarden登録完了画面(2025年11月時点)

デバイスにアプリをインストールする

それぞれのデバイスにアプリをインストールして、同じアカウントでログインすれば自動的にデータが同期されます。

PCブラウザ版:ChromeやFirefoxの拡張機能として追加
スマホアプリ:iOS・Android対応
デスクトップアプリ:Windows・Mac・Linux対応

パスワードを生成する

つい使いまわしがちなパスワード、この機会に全部作り直してみませんか。Bitwardenの「パスワード生成」機能を使えば、長さや文字種を指定した強力なランダムパスワードが一瞬で作れます。手作業でパスワードを考えるよりも、はるかに安全です。

パスワードを保存する

  1. Bitwardenを開き「新しいアイテムを追加」をタップ
  2. 保存するサイトのURL・ユーザー名・パスワードを入力
  3. タイプを「ログイン」に設定して保存

保存したパスワードは自動で暗号化されます。ブラウザ拡張機能を入れると、ログイン画面での自動入力も可能です。

セキュリティをさらに高める設定

  • 2段階認証(2FA)の設定:Google Authenticatorなどの認証アプリと連携。マスターパスワードに加えてコードが必要になり、安全性が大幅アップ。
  • マスターパスワードの強化:長くて推測されにくいものに。紙にメモして鍵のかかる場所に保管するのも有効です。
Bitwardenのセキュリティ設定イメージ

💡 マスターパスワードだけは、絶対に忘れないこと。これだけは頭に刻んでおきましょう。

ちなみに、Windowsのサインインパスワードを省略したい・管理したいという方はこちらも参考にどうぞ。

👉 Windows10パスワード入力の省略方法での解決策

まとめ:今日からできる3つのこと

WordPressの下書きやレンタルサーバーをメモ帳代わりに使うのは、セキュリティ上とても危険です。

  1. 今すぐ確認:WordPressの下書きやサーバーにパスワードが残っていたら削除してパスワードを変更する
  2. パスワード管理アプリを導入:まずはBitwardenの無料プランからでOK
  3. 2段階認証を設定:パスワードが漏れても突破されにくくなる

🔒 大切なIDやパスワードは、専用のパスワード管理アプリにまとめて保管しましょう。一度設定してしまえば、あとは使うたびに「便利になった」と実感できるはずです。

パソコン便利帳
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

目次