WordPressは広く使われている分、セキュリティ的に弱いところを突かれて不正ログインなどの被害に遭いやすいです。
なので不正ログインを他人事と思わずに「自分もいつか被害に遭うかもしれない」、という気持ちでセキュリティ対策はしておくべきです。
ではセキュリティを高めるためにいったい何をすればいいのか・・・
その答えの1つがログイン画面で2段階認証を有効にすることです。
ここでは Google Authenticator ( miniOrangeプラグイン ) を使い、2段階認証を設定する手順について紹介していきます。
目次
2段階認証ってそもそも何?導入するメリットとは
2段階認証は最近よく聞くようになった言葉ですよね。
これはログイン時にパスワードに加え、
さらに他の情報を求めて2段階の認証をさせることです。
例えば今までの方法だと、次みたいな1段階認証。
- IDとパスワードを入力
- 正しければログイン成功
このように、IDとパスワードだけなのが今までの問題点。
そこで2段階認証では、もう1つ本人確認の作業を増やしています。
その認証作業の例をいくつか挙げるとすると・・・
- 登録したメール宛てに届いた認証コードを入力
- 音声通話でパスワードを受け取り入力
- 認証アプリを使って受け取った認証コード入力
・・・などなど
メールとか電話番号とかスマホの認証アプリというのは本人でしか使えないので、誰かがなりすましでログインできる可能性がかなり低くなります。
WordPressでも次に紹介するGoogle Authenticatorプラグインを導入すれば、管理画面でもこの2段階認証が利用可能です。
例えば管理画面でパスワードに加えて、次のようにスマホの認証アプリから送られてくるコードを入力しなければログインができない仕組みになります。
認証アプリで認証コードを得るにはプラグインから自分のスマホを登録しないといけないので、赤の他人は認証コードを得ることすら不可能です。
しかも認証コードは30秒~1分ごとに毎回変わるので推測することも不可能になります。
つまり2段階認証をしておけば次の メリット があるんです。
- 本人確認の作業が増える
- 認証コードは自分以外には分からない
- 認証コードを推測することも不可能
今までのIDとパスワードを入力するだけに比べ、セキュリティが劇的に高くなることが分かると思います。
WP管理画面での2段階認証設定手順
二段階認証の設定手順を簡単にまとめると次の通り
- WordPress側でのプラグインの設定
- miniOrangeにサインアップ
- スマホアプリ側での2段階認証設定
ではこの手順について順番に説明していきます。手順通りにやれば数分くらいで終わるのでパパッと設定してしまいましょう。
1.Google Authenticatorプラグインのインストール
まずGoogle AuthenticatorをWordPressにインストール・有効化します。
その手順は次の通り
まずWordPressメニューから「プラグイン」ー>「新規追加」を選択
新規追加画面が開いたらプラグインの検索欄に「google authenticator」と入力して検索
しばらくすると検索結果の一番上に次のようなプラグインが表示されるので「今すぐインストール」ボタンを押してインストールします。
ちなみに以下ページから直接ダウンロードも可能
https://ja.wordpress.org/plugins/miniorange-2-factor-authentication/
インストールが終わると「今すぐインストール」ボタンが「有効化」ボタンに変わるので必ずそれを押して有効化しましょう。
これでプラグインのインストール・有効化は完了です。
2.miniOrangeアカウントにサインアップ
プラグインから二段階認証設定するにはminiOrangeアカウントが必要です。
なのでminiOrangeアカウント作成してサインアップしましょう。
その手順は簡単で次の通り
まずWordPressメニューから「miniOrange 2-Factor」を選択
すると次の画面が開くのでオレンジ色で囲った枠にメールアドレスやパスワードなど必要な情報を入力して「Create Account」ボタンを押しましょう。
*注意* : 登録したメールアドレスとパスワードは2段階認証の再設定時にも必要になるので必ず覚えておくかどこかにメモしておいてください。
しばらくすると登録したメアドに「123456」のような6桁のワンタイムパスワードが書かれたメールが届きます。
あとはこのワンタイムパスワードをプラグイン画面から入力して「Validate OTP」ボタンをクリック
認証に成功すると次のようなダイアログが現れます。
ここまでがアカウントのサインアップ手順です。
では次にこのダイアログで2段階認証の設定をしていきましょう。
3.Google Authenticatorアプリから2段階認証設定
miniOrangeでは次の3つの方法での二段階認証に対応しています。
- Google Authenticatorアプリで認証
- miniOrange開発のアプリで認証
- ログイン時に秘密の質問に答えて認証
ここでは一般的に使われているGoogle Authenticatorアプリを使い、WordPress管理画面に二段階認証を設定していきます。
その手順は次の通り
ではまず先ほど開いたダイアログの「Next」ボタンを押して先に進みましょう。
次に進むと、どの認証法を使うか聞かれるので「Google Authenticator」を選んでそのまま放置
しばらく待つと次のような画面に自動的に進みます。
ではまずこの画面左にある「Select Phone-Type」から認証に使うスマホの種類を選んでください。
ここではAndroidを選びました。
そうしたらスマホにGoogle Authenticatorアプリをインストール。
Android・iPhoneそれぞれのダウンロードリンクはこちらから
Android版 : https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ja
iPhone版 : https://itunes.apple.com/jp/app/google-authenticator/id388497605?mt=8
インストールが終わったらダイアログ真ん中に表示されているQRコードをスマホのバーコードリーダなどで読み取りしてください。
上の画像のオレンジ色の枠で囲ったところにあるのがQRコードです。
このQRコードを読み取るとGoogle Authenticatorアプリが起動し、miniOrangeプラグインのキーが保存されます。
キーが保存されていないとアプリを2段階認証に使えないので必ずQRコードの読み取りは忘れずに
Google Authenticatorアプリでは認証コードは6桁の数字で表示されます。
この認証コードが管理画面でのログインに必要になることを覚えておきましょう。
ちなみにこのコードは30秒~1分程度で別のものに切り替わります。
ではminiOrangeプラグインの設定ダイアログに戻って、今表示されている認証コードを入力して「Verify and Save」を押してください。
そして次のようなメッセージが表示されれば2段階認証の設定は完了です。
ちなみに「Next」を押すと2段階認証のテストができます。
それが不要なら「Skip Test」を押してダイアログを閉じてOKです。
長かったですが、以上で2段階認証ログインできるようになりました。
次は実際に2段階認証でログインしてみることにします。
2段階認証でログインしてみよう
まず今WordPressにログインしているならログアウト。
ログアウトしたら今までと同じように次のログイン画面が出てきます。
ここはもう普通にユーザー名とパスワードを入力して「ログイン」ボタンを押すだけです。
二段階認証が今までと違うのはログインボタンを押すと次のような認証コード入力画面が出てくること
この画面でやることはGoogle Authenticatorアプリに表示されているコードを入力して「Validate」ボタンを押すだけです。
認証コードを正しく入力すればいつも通りにダッシュボードが表示されます。
認証コードを確認して入力する、それだけの手間が増えただけです。
でもこれだけの手間でセキュリティ飛躍的に上がりますね。今までと比べものにならないほど安全にすることが可能です。是非お試しを!
もし2段階認証でログインできなくなったら...
2段階認証には1つ知るべきことがあります。
それはログインできない時の対処法
ごくまれに起こるんです。滅多にないですが・・・
その体験談は次noteで書いた通りです。
https://note.com/fukuro_press/n/n86f4a9f22f1f
体験談ついでに対処法も書いてあります。
その手順を端的に書くならこうですね。
- サーバー管理画面にログイン
- WebFTPなどでサーバーに接続
- miniOrangeプラグインをリネーム
これで2段階認証を一時的に解除できます。
もちろんサーバーへの2段階認証もお忘れなく・・・
(利用できないならパスワードを限りなく強固に!)
WordPressのセキュリティをさらに高めるには
以上がWordPressでの2段階認証の導入手順
WordPressのセキュリティがかなり高くなるはずです。
ですが2段階認証に加え、次の対策もすればセキュリティ向上に効果があります。
- パスワードを使いまわさない
- パスワードを強力なものにする
- SiteGuard WP Pluginを使う
- プラグインをこまめに更新する
詳しくは次の記事でまとめたのでご覧あれ。
ちょっとした心掛けや、プラグインの導入でセキュリティは誰でも簡単に高められます。面倒くさがらずにWordPressの不正ログイン対策はしておきましょう。
まとめ
以上、WordPressに2段階認証を設定する方法について紹介しました。
情報発信の場をハッカーや悪意のある人間に乗っ取られないよう、二段階認証も含めてセキュリティ対策はバッチリしておきたいですね。
フク郎
最新記事 by フク郎 (全て見る)
- 最大5,000円報酬をもらうために、招待を受入れていただけませんか? - 8月 27, 2024