ブログのセキュリティは大丈夫? スマートフォンを利用した2段階認証を導入… WordPress

wordpress-bg-medblue

今回の記事もタイトルだけ入力しておきながら放置プレイしていた記事だったので、実際にWordPressに2段階認証を導入してから半年ほど経っているのですが

当時の記憶を掘り起こしながら記事にまとめてみようと思います!

け、決してネタ切れとかではないのですからね!?ほ、本当ですよ!?(汗)この後は日塩有料道路を走った話だったり、デジタル一眼レフカメラを○ってしまった話が待機している訳ですから

しかしながら記事一覧でタイトルだけ入力して本文を書いてない記事の在庫一斉SALE?と言われれば

反論する余地はありません…(笑)

2段階認証を設定して不正ログインからWordPressを守る

wordpress-bg-medblue

事の発端は、予約しておいた記事の投稿時間が記憶と違う時間に投稿されていた事が数回ありましたので(実際には自分の設定ミスではあったのですが)

誰か?がブログに不正ログインして

投稿時間を変えたのか?
そんな暇な悪戯する人はいませんw

なんて…(笑)

実際問題、素のWordPressでは「ドメイン/wp-admin」がログイン画面に設定されていますので、いくらリンクを隠そうとしても

それを知っている人は

ログイン画面にアクセス可
ログインできるとは言ってないw

だったりしますからね!?

ですので、自分はリンクを隠すことは止めましたが(笑)

しかしながら

ユーザー名(またはメールアドレス)とパスワードだけで管理していると、その辺がどうしても不安材料になってしまう事には変わりませんので

何か?良い方法はないのかな?と検索していたらプラグインでスマートフォンを利用した2段階認証が設定出来る事を発見しました!が

2段階認証とは一体なんぞ?(笑)

2段階認証とは?
ログインする際に、IDとパスワード以外に、スマホで生成されるセキュリティコードが必要になる認証方法のことを指します。セキュリティコードは30秒毎に変化するので、2段階認証を設定しているアカウントをクラックすることはほぼ不可能です。2段階認証を設定することで、IDとパスワードが流出したとしても、第三者による不正ログインを未然に防ぐことができるのです。

要するにログイン時にIDとパスワードの他に設定したスマートフォンに表示されているセキュリティキー(何桁かの数字)を入力してログインする奴ですね!?

導入手順も簡単で

  • WordPressに2段階認証用のプラグインを導入
  • 管理するスマートフォンに認証アプリをインストール
  • WordPressとアプリを連動させる(QRコード読込み)

はい!この3つの手順でWordPressの管理画面ログインに2段階認証を設定する事ができるみたいです!

WordPressにプラグイン「Google Authenticator」をインストール

まずは、WordPressに2段階認証を設定するプラグイン「Google Authenticator」をインストールします。管理画面に入って、「プラグイン」→「新規追加」をクリック。

右上の検索ボックスに「Google Authenticator」と入力して、「Google Authenticator」が出てきたら「今すぐインストール」をクリックします。

スマートフォンには認証アプリをインストール

次に管理するスマートフォンに「認証アプリ」をインストール!認証アプリは、Googleの「認証アプリ」をインストールします。

と同じアプリなのに名称が違うのは、コレ如何に?(笑)ちなみにagehaはスマートフォンを2台(Android と iOS)を持ってますので、それぞれにインストールしておきました。

勿論、AndroidでもiOS(iPhone)でも設定が同じなら同じコードを吐き出しますので運用上に問題はありません。

仮に認証アプリを設定した端末に不備(故障や機種変更など)が発生した場合、運用している端末が1台だけだとWordPressにログインできなくなってしまいますから

複数の端末に認証アプリを入れて連動させておくのは不測の事態への保険にもなりますね♪

2段階認証を設定しよう!

WordPressの「設定」→「ユーザー」へ進み、2段階認証を設定します。2段階認証をかけるユーザーを選んでクリック!プロフィールの項目にGoogle Authenticatorプラグインの設定が追加されていますので、設定画面の「Active」にチェックを入れて

「Show / Hide QR code」をクリック!

管理用のQRコードが出現しますので、表示されたQRコードをスマートフォンの「認証アプリ」で読み込めばOKです。

プロフィールを更新

最後にWordPressの画面に戻り、一番下までスクロールして「プロフィールの更新」をクリックすれば、WordPressに2段階認証の設定が完了です!

この状態で、一度ログアウトしてログイン画面に行くと

20180726001

ユーザー名(またはメールアドレス)とパスワードの入力欄の下にGoogle Authenticator codeを入力する欄が増えているはずです。

いつも通りにユーザー名とパスワードを入力したら管理用のスマートフォンでGoogle Authenticatorを立ち上げ表示されているcodeを入力すればログインできるはずです!

ちなみに

Google Authenticatorでは複数のサイト(ID)を管理できますので、IDを追加してQRコードを読み込めばGoogle Authenticatorに対応した他のサイトでも2段階認証ができるみたいですね!?

20180726002

さくらインターネットの会員ログインの2段階認証も「この」Google Authenticator で実装されていますので、アプリ単体のセキュリティ面を心配する必要はなさそうですね!?(流石!天下のGoogle様)

ログインできない場合は?

Google Authenticatorを導入後、プラグイン or スマートフォン、どちらかの設定が上手くいかなかったりスマートフォンが壊れたりしてアプリが起動できない場合などは…

当然の如く

WordPressにはログインができません(涙)

ですので

そういった際はFTPなど利用してWordPressが動作しているサーバーにアクセスしプラグインフォルダから「Google Authenticator」のプラグインを削除すれば

はい、元通り!(笑)

参考までにWordPressのプラグイン保管ディレクトリは(↓)コチラ

Google Authenticator codeの入力欄が消えて2段階認証が不要で通常ログインが可能な状態に戻ります!

WordPressの2段階認証のまとめ

こんな感じで、プラグイン「Google Authenticator」を導入する事で簡単にWordPressのログイン画面に2段階認証を実装する事ができますが

この Google Authenticator の強み(?)は、なんといっても生成されるコードが一定の時間で常にリアルタイム更新される事ではないでしょうか?

仮にIDとパスワードが流出してしまった場合でも登録したスマートフォンが生成する一定期間しか有効でないコードを入力しなければ

決してログインできませんからね!?

この他にもWordPressのセキュリティを上げる方法はBasic認証だとか海外IPから管理画面へのアクセスを制限する方法(プラグイン IP Geo Block が強力だと実感済み)だとか、色々あったりするのですが

記事が長くなりそうですので、今回はここまで(笑)

今回、参考にさせて頂いたサイト

スポンサーリンク


Follow me!

管理人が選んだオススメ記事

コメントを残す

メールアドレスが公開されることはありません。