リライト：web上でよく利用するパスワード管理をしっかりして不正アクセスを防ぐ

2014年10月31日当時、CMS（コンテンツマネジメントシステム）を使ってホームページを更新することはすでに一般的になっていました。WordPressや各種CMSは、管理画面へのログイン時にパスワードが必須であり、そのパスワードを狙った不正アクセス（攻撃）は大きな脅威となっていたのです。

攻撃手口は年々高度化し、完全な防御は難しい状況でしたが、当時としては可能な限りのセキュリティ対策を講じることで、被害を抑えることが推奨されていました。

主な攻撃手段

ブルートフォースアタック（総当たり攻撃）

考えられるあらゆるパスワードパターンを試し続け、正解が出るまで総当たりで攻撃する手法です。

リバースブルートフォースアタック（逆総当たり攻撃）

一定のパスワードを固定し、様々なIDパターンを組み合わせて攻撃します。

リジョーアカウントカウントへの攻撃

「IDとパスワードが同一」という単純なアカウント（例：IDがadminでパスワードもadmin）を狙う、最も簡易な手口です。驚くことに、当時も同じIDとパスワードを使い続けるユーザーが多く、被害が発生していました。

パスワードリスト攻撃

何らかの手段で入手したID・パスワードのリストを用いて、他のサイトにも同じ組み合わせでログインを試みる攻撃です。使い回しのパスワードを利用していると、1度漏洩した情報で他のサービスにも侵入される危険があります。

当時推奨された対策方法

対策方法はユーザー側で出来る方法と管理者側で出来る方法の2種類あります。

ユーザー側の対策

パスワードの強化

文字数を増やし、大文字・小文字・数字・記号を混在させるなど、不規則な組み合わせで安全性を高める。

利用サイトごとにパスワードを変更

使い回しを避け、1つの情報流出で全てのサービスが危険に晒されないようにする。

管理側（サイト運営者側）の対策

ログイン回数の制限

一定回数以上パスワード入力に失敗すると、一時的にログインを制限し、総当たり攻撃を困難にする。

アクセス元の制限

特定の不正なIPアドレスからのアクセスを遮断する。

WordPressのバージョンアップ

常に最新バージョンを利用して、既知の脆弱性を修正した状態を保つ。

2024年現在との比較とSEO的な視点

• 当時はID・パスワード保護を中心とした基本的なセキュリティ対策がメインでした。現在では2段階認証（2FA）やWebアプリケーションファイアウォール（WAF）の導入など、より強固な対策が当たり前になっています。
• セキュリティ対策自体が直接SEO順位を大幅に左右することは限りなく少ないですが、サイトがハッキングされて長時間ダウンしたり、フィッシングサイトに改ざんされると、ユーザーからの信頼性が低下し、結果的に検索エンジンからの評価も下がる可能性があります。また、Googleをはじめとした検索エンジンはユーザー体験（UX）とサイトの安全性を重視するため、間接的に評価につながることも考えられます。

今の時代も通用するSEO対策としての評価

2024年現在、パスワード管理は依然として重要ですが、それだけで万全ではありません。2FAの導入やクライアント証明書による認証、CDNやWAFを活用したセキュリティ対策など、多層的な防御が求められます。
当時の記事が推奨していた「使い回しパスワードを避ける」「パスワードの強度を上げる」などの基本対策は、今でも通用します。ただし、今のユーザーにはパスワードマネージャーや多要素認証など、より便利で強固なセキュリティオプションを提示することで、さらに堅牢なサイト環境を構築できます。

まとめ

2014年10月31日当時の記事で述べていたパスワード対策は、現在でも基本的なセキュリティ対策の一部として有効です。ただし、2024年時点では、これに加えて2FAや定期的なパスワード変更、パスワードマネージャーの利用、セキュリティプラグインやWAFの導入など、さらなる対策が一般的になっています。
こうした総合的なセキュリティ施策により、ユーザーは安全なサイト利用を体験でき、それが長期的にはブランドやサイトへの信頼度向上につながり、間接的にSEO評価にも好影響を及ぼす可能性があります。

関連記事

• 2024年 ホームページ制作の最新動向を振り返る
• リライト：WordPressの機能ピンバック機能悪用対策
• サイトの信頼性を高める！ドメインパワー改善の秘訣
• HTTPSの導入と移行でセキュリティ強化｜SEO対策 第20回