セッションハイジャック

セッションハイジャックとは

ログイン中のユーザーのセッション情報（Cookie等）が盗まれると、攻撃者がなりすませます

対策

WordPressのFORCE_SSL_ADMINを有効にして、HTTPSを強制します

すべての通信が暗号化されるので、セッション情報が盗まれなくなります

define('FORCE_SSL_ADMIN', true);

このコードはwp-config.phpに書くべき定数定義です

wp-config.php の中で、「編集はここまで！」と書かれているコメントアウトの上の行あたりに書くのが一般的です

この定義を有効にすると、管理画面（/wp-admin）やログインページ（wp-login.php）へのアクセスが強制的にHTTPSにリダイレクトされます