【スポンサーリンク】

WordPressサイトに二要素認証を追加した(Two-FactorプラグインとGoogle Authenticator)

WordPressサイトに二要素認証を追加した(Two-FactorプラグインとGoogle Authenticator)
  • WordPressの安全性を高めるために、二要素認証を導入しました。
  • Two-Factorプラグインを使用し、Google Authenticatorアプリと連携させて設定しました。
  • ログイン時には、IDとパスワードの入力後に、アプリで生成されたコードも入力する必要があります。
特典ダウンロード
【ちいラボ読者特典】印刷してすぐ使える!
\記事が役に立ったらシェアしてね/
【スポンサーリンク】

1. WordPressに二要素認証を導入する

最近、WordPressプラグインの改ざん被害に間一髪で逃れました。
サイトの安全性を高めるために、二要素認証(2FA)を設定しようと思います。

二要素認証を導入すれば、たとえパスワードが破られても、ログインを防ぐことができます。
たとえば、パスワードを総当たりで試すブルートフォース攻撃やフィッシングサイトで騙されたときの被害を軽減できます1

2. 定番のWordPress二要素認証プラグイン

WordPressに二要素認証を導入するには、専用のプラグインを利用するのが便利です。

定番のWordPress二要素認証プラグイン
Two Factor(Plugin Contributors)

シンプルで軽量なプラグインです。

  • 認証アプリによる認証
  • メールによる認証
  • FIDO U2Fセキュリティキーの使用

使いやすさと柔軟性を兼ね備えたプラグインです。

  • 認証アプリを使用した認証
  • メールによる認証コードの送信
  • バックアップコードの生成
  • 特定のユーザーや役割に対して二段階認証を強制する機能
定番のWordPress二要素認証プラグイン

Two Factorプラグインは、各ユーザーが自分で二段階認証を設定する必要があります。
全ユーザーに強制したい場合は、WP 2FAの方が適しているかもしれません。

3. Two-Factorプラグインの設定方法

Two-Factorプラグインを設定して、WordPressにログインするときに、Google Authenticatorアプリで生成されたコードを入力するようにしました。

この認証アプリで生成されるコードを「TOTP(Time Based One-Time Password )」と言います。

Two-Factorプラグインの設定方法

シンプルで内部動作が明瞭であること、Plugin Contributorsによって開発されていることで選びました。

Two-Factorプラグインの設定方法
  1. WordPressの管理画面で「Two Factor」プラグインをインストールして有効化する
  2. ユーザープロフィールページの「Two Factor設定」で、「メール」と「TOTP」を有効にし、メインの認証方法として「TOTP」を選択する
  3. スマートフォンに「Google Authenticator」アプリをインストールし、WordPress画面のQRコードをスキャンする
  4. アプリで生成された認証コードをWordPressに入力し、「プロフィールを更新」ボタンをクリックして設定を保存する

TOTPを使うには、スマートフォンにもGoogle Authenticatorアプリをインストールする必要があります。

WordPressの画面に表示されるQRコードをスキャンし、今度はアプリで生成された認証コードをWordPressの「認証コード」欄に入力し、「送信する」をクリックします。

Two-Factorプラグインの設定方法

認証が成功すると、「秘密鍵を設定し、登録します」というメッセージが表示されます。

こちらもどうぞ。
[WordPress]Ad Invalid Click Protectorのマルウェア感染と修復(バージョン 1.2.9)
[WordPress]Ad Invalid Click Protectorのマルウェア感染と修復(バージョン 1.2.9)
WordPressプラグイン「Ad Invalid Click Protector 1.2.9」で不正アクセスの被害があったそうです。開発者のアカウントがハッキングされ、一時的にではありますが「悪意のあるコード」を埋め込まれたことが原因です。すでに問題は最新バージョンでは修正されています。たまたまプラグイン更新のタイミングで被害を免れましたが、すぐに更新していたり、プラグインレビューチームの迅速な対応がなかったらと思うとゾッとします。「Ad Invalid Click Pro...

仕事の迷惑メール対策をした(二要素認証とスパムフィルター)
仕事の迷惑メール対策をした(二要素認証とスパムフィルター)
迷惑メールが増加し、不正アクセスのリスクが高まっています。2要素認証の設定とアカウント登録用メールアドレスの分離が、パスワード漏洩の被害を防ぐ有効な対策です。迷惑メールフィルターの強化とメールクライアントの設定変更、セキュリティソフトの導入、利用者教育が、迷惑メール対策に役立ちます。迷惑メールの増加とリスク対策いったん不正アクセスの侵入を許してしまうと大きな被害になります。金銭的な被害だけでなく、重要なデータにアクセスできなくなると多くの人に迷惑をかけてしまいます。フィッシン...

Slackの2要素認証を設定した(Google Authenticator)
Slackの2要素認証を設定した(Google Authenticator)
Slackを安全に使うためには「2要素認証」の設定が必須です。特に、ワークスペースの管理者やオーナーは重要です。2要素認証には、認証アプリ(例: Google Authenticator)とSMS認証の2種類の方法があります。これにより、不正アクセスのリスクを大幅に減らせます。また、スマホを失くした時のために、バックアップコードを安全な場所に保管することも重要です。「2月26日までに2要素認証が義務」Slackの画面に「ワークスペース管理者は、ログインを2要素認証にしておかな...

(補足)

  1. 書いてて気づきましたが、不正なプラグインのコードでユーザーを追加するような不正アクセスには有効ではないかも……。
QRコードを読み込むと、関連記事を確認できます。

WordPressサイトに二要素認証を追加した(Two-FactorプラグインとGoogle Authenticator)
【スポンサーリンク】
タイトルとURLをコピーしました