WordPress 6.8 からログインパスワードのセキュリティが強化され、ハッシュ方式が MD5 から bcrypt に変更されています。
これに伴い、従来の方法でデータベースからログインパスワードを変更することができなくなりました。
WordPress 6.8 で採用された bcrypt による再設定方法を解説します。
WordPress 6.7 以下の場合
WordPress 6.7 以下のログインパスワードを、データベース(phpMyAdmin)から直接変更する方法を先に解説します。
左側のパネルから wp_users を選択し、パスワードを変更したいユーザーの「編集」をクリックします。
「user_pass」の値がログインパスワードです。
新しいパスワードを入力し、関数を「MD5」に変更してください。
そのまま「実行」をクリックして完了です。
WordPress 6.8 以降の場合
WordPress 6.8 以降の場合は、ジェネレーターなどでいったんハッシュを生成する手間が生じます。基本的な操作方法は 6.7 以下と同じです。
変更する場所は WordPress 6.7 以下と同じです。
ここでは「Bcrypt Hash Generator」でハッシュを生成してみます。
- Text to Hash に新しいパスワードを入力
- Rounds を 10 ~ 12 に設定
- 「Generate Hash」をクリック
- 生成されたハッシュをコピー
ジェネレーターで生成したハッシュ値を user_pass に入力します。関数は空白のままです。
そのまま「実行」をクリックして完了です。
実際に WordPress にログインできるかご確認ください。
WordPress 6.8 のパスワードに関する注意点
ダウングレードしたときはパスワードの再設定が必要
WordPress 6.7 以下から 6.8 に更新したとき、ログインパスワードも自動的に bcrypt に変換されます。
逆に 6.8 からダウングレードしたとき、パスワードが MD5 に戻ることはありません。
そのため、ダウングレードしたときはログインパスワードの再設定が必要となります。ログイン画面の「パスワードをお忘れですか?」から設定しましょう。
ダウングレード方法は「WordPress ダウングレードプラグイン「WP Downgrade」の使い方と設定方法」で解説しています。
パスワード再設定のメールが届かない場合
パスワード再設定のメールは、各ユーザーのメールアドレスあてに届きます。
もしメールが届かない場合は、以下のいずれかが原因です。
- 迷惑メールフォルダに入っている
- WordPress からのメールがメーラによって完全にブロックされている
- 自分のメールアドレスが設定されていない(外注先や架空のメールアドレスになっている場合があります)
迷惑メールに入っていればすぐ見つけられると思いますが、メールアドレスは正しいはずなのにメールが届かないなら、サーバーで SPF や DKIM が設定されていないのかもしれません。
Contact Form 7 のメールが届かない原因と対処法
お問い合わせなども届いていない可能性がありますので、この機会に見直しをおすすめします。
さくらのレンタルサーバなど、DKIM を自分で設定しなければならないサーバーもあります。
サイト制作を外注していた場合は、メールアドレスや DKIM 設定について問い合わせてみたほうがよいと思います。
いずれの方法でも解決できないときは、データベースからログインパスワードを変更する形になります。
まとめ
WordPress 6.8 以降のログインパスワードをデータベースから直接変更したい場合、ジェネレーターで bcrypt 形式に変換しましょう。
ログインパスワードの再設定メールが届かないのであれば、そちらもあわせて解決しておくことをおすすめします。
なお、いくらセキュリティが強化されたといっても、パスワード自体が弱ければ危険なことに変わりありません。10 文字以上で記号を含めたランダムな文字列をおすすめします。
