趣味と仕事の境界線・・・・・・

困ったこと・調べたこと・勉強したこと・興味の湧いたこと。今蒔く種が未来となるように。

管理者のたしなみ。ワードプレスで構築したWebサイトへのアタックが頻繁で困った話

二段階認証をしている様子
二段階認証

最近、ワードプレスで構築したWebサイトが増えてきて、管理に追われる今日このごろ。 複数サイトを管理していると、パスワードの管理も煩雑になってきて、別のサイトのパスワードを入力してはログインできないと首をひねることもしばしばです。

そんなサイト管理者をさらに困らせるべく、ワードプレスの管理ページへのアタックは頻度を増しています。 最新のセキュリティ動向をチェックしては、各種の設定を確認したり見直したりと忙しい日々。

管理ページのセキュリティ向上には「SiteGuard WP Plugin」などがあるのですが、基本に立ち返って「二段階認証」化できないかと思い、プラグインを検索したらありました。

ちなみに「SiteGuard WP Plugin」はコチラ。設定をミスるとログインできなくなるのでご注意を。 www.jp-secure.com

二段階認証については、今さらながらコチラ。

Google 2-Step Verification

あなたが考えている以上にパスワードを盗むことは簡単です

Turn on 2-Step Verification - Computer - Google Account Help

2 段階認証プロセスを有効にする 2 段階認証プロセスを設定すると、アカウントにセキュリティの層がもう 1 つ追加されます。設定した後は、次のものを使ってアカウントに 2 段階でログインします。

ユーザーが知っているもの(パスワード) ユーザーが持っているもの(スマートフォンやセキュリティ キーなど)

ユーザが「知っている情報」と「持っている機器等」の二段階で認証することで、本人確認の安全性と確実性を向上するという仕組みです。

ワードプレス管理ページのダッシュボードから「> プラグイン > 新規追加」と進み、「Google Authenticator」で検索。 検索結果が大量に表示されるので、ここから知識と経験と勘を総動員していずれかのプラグインを選択します。

日本語でググると「Google Authenticator」というプラグイン推しの記事が多く出てきますが、2019年現在で更新日が2年前となっているため注意が必要です。 プラグインの名称に「Google Authenticator」と付いていても、別にGoogle 謹製でもなんでもないので重ねてご注意を。Google 社に「更新してよー」と言ってもしてくれませんので悪しからず。

筆者は「レビュー数」「星」「インストール数」「更新日」「機能」から「Loginizer」を選択してインストールしたのですが、どうやらGoogle Authenticator の利用は有料機能とのことで、即アンインストールしました。メールアドレスを用いた二段階認証は可能ながら、厳密にはそれは二段階認証ではありません。

というわけで、最終的にminiOrange 社の「Google Authenticator – WordPress Two Factor Authentication (2FA)」を選択。 複数アカウントでの運用は有料とのことですが、当面はこれで十分。

プラグインをインストールしたら、まず「miniOrange」アカウントを作らされるのが多少不安になります。ここもセキュリティを考慮して、登録用の捨てアドレスを作って使用しましょう。

アカウントを作成してプラグインへのユーザログインを完了したら、さっそくプラグイン設定画面から「Google Authenticator」を選択してQRコードを表示して待機させつつ、スマホアプリの「Google Authenticator」を起動してアカウントを追加していきましょう。

設定と追加が済んだら、最後に管理ページをログアウトして二段階認証でログインできるかテストをお忘れなく。 筆者はここで「ログインできないっ!」となったんですが、さっきの「miniOrange」アカウント作成時にブラウザに記憶したメールアドレス+パスワードが自動入力されていたのが原因でした・・・。管理者のメールアドレス+パスワードを入力し直して無事にログインの確認ができました。

最後はちょっとだけトホホな感じでしたが、めでたしめでたし。