Joomlaで2段階認証を設定する

Joomlaを使ってサイト運営している方は、必ず管理画面へのアクセスに2段階認証を掛けるようにしましょう。

Joomlaは、「ドメイン/administrator」で管理画面へのログイン画面がでます。サイトの乗っ取りを仕掛けるハッカーは、手当たり次第に、管理画面でIDとパスワードを入力してきますから、2段階認証をかけてクラックを未然に防ぐのです。

2段階認証とは

2段階認証とは、ログインする際に、IDとパスワード以外に、スマホで生成されるセキュリティコードが必要になる認証方法のことを指します。セキュリティコードは30秒毎に変化するので、2段階認証を設定しているアカウントをクラックすることはほぼ不可能です。

2段階認証を設定することで、IDとパスワードが流出したとしても、第三者による不正ログインを未然に防ぐことができるのです。

今日のエントリーでは、Joomlaで2段階認証の設定方法を紹介します。

Joomlaの2段階認証にはプラグインが不要

Joomla3.0以降のバージョンならば、標準でGoogleの2段階認証が搭載されています。なので、サードパーティーのプラグインは必要ありません。WordPressで2段階認証を行う場合、サードパーティのプラグインが必要ですから、この点においてJoomlaの方が勝っていますね。

Joomla2.5やJoomla1.5では、2段階認証の設定はできません。ちなみにJoomla2.5は、2014年12月31日をもってサポートが終了していますので、Joomla2.5を未だにお使いの方は、早くJoomla3.6.2へアップデートすることをオススメします。

Joomlaで2段階認証を設定する

以下の手順で2段階認証を設定します。

1. ユーザーアカウントに入る
2. 2段階認証をオンにする
3. 「Google Authenticator」を取得
4. 「Google Authenticator」でQRコードを読み込む
5. 「Google Authenticator」に6桁の「セキュリティコード」が表示される
6. Joomlaの画面に「セキュリティコード」を入力して保存
7. 2段階認証の設定が完了
8. ワンタイムパスワードを保管

1. ユーザーアカウントに入る

Joomla管理画面に入り、「ユーザー　→　管理」をクリックして、「該当ユーザー」を選択する。

2. 2段階認証をオンにする

該当ユーザーの画面に行き、右端のタブ「2段階認証」をクリックすると、デフォルトでは認証方法が「2段階認証を無効にする」となっているので、「Google認証」へ変更。

すると、以下の画面が出てくるので、画面に従って2段階認証の設定を行います。

3.「Google Authenticator」を取得

まずは、スマホに「Google Authenticator」をインストールします。「Google Authenticator」を使って2段階認証のコードを生成するのです。

• Google Authenticatorを App Store で – iTunes – Apple
• Google 認証システム – Google Play の Android アプリ

4.「Google Authenticator」でQRコードを読み込む

「Google Authenticator」をインストールしたスマホで、Joomlaで表示されたQRコードを読み込みます。

「Google Authenticator」で認証コードが生成できなくなる場合に備える

2段階認証を設定した場合、「Google Authenticator」をインストールしたスマホが壊れてしまうと、Joomlaの管理画面にアクセスできなくなってしまいます。

複数のスマホやタブレットお持ちの方は、複数台に「Google Authenticator」をインストールしてQRコードを読み込んでおきましょう。1台のスマホが壊れても、もう1台のスマホでログインできますからね。

5.「Google Authenticator」に6桁の「セキュリティコード」が表示される

QRコードを読み込むと、スマホ上の「Google Authenticator」に6桁の「セキュリティコード」が表示されます。

6. Joomlaの画面に「セキュリティコード」を入力して保存

Joomlaの画面に「セキュリティコード」を入力して、左上の保存をクリックします。

7. 2段階認証の設定が完了

2段階認証の設定が完了です。

8. ワンタイムパスワードを保管

ワンタイムパスワードが表示されますので、必ず保管してください。スマホが壊れた際に、ワンタイムパスワードがないとJoomlaにログインできなくなります。

Joomlaのセキュリティを上げる方法

2段階認証以外に以下の設定もおこなっておくと安心です。

• Basic認証
• 海外IPアドレスからの管理画面へのアクセスを制限

Basic認証

HTTPが持っている、基本的なユーザ認証方式です。Basic認証によるアクセス制限をかけることによって、管理画面へアクセスがあった場合、ユーザー名とパスワードの入力が求められます。第三者がアクセスを試みた際、「401レスポンスコード」を返します。

サイト管理者以外、管理画面の閲覧ができなくなります。

万が一、Basic認証をクラックされたとしても、管理画面には2段階認証のコードを入力する必要があるので、第三者の不正ログインを防ぐことが可能。

海外IPアドレスからの管理画面へのアクセスを制限

海外IPアドレスからの管理画面へのアクセスを制限します。

JoomlaなどのCMSへの不正アクセスは、圧倒的に海外からの攻撃が多いですからね。

もし、海外旅行中にサイトを更新する場合、VPNアプリを使って、日本にあるVPNサーバーを経由すれば、管理画面へのアクセスが可能です。

無料Wi-Fiは危険！VPNでセキュリティーを確保する

無料Wi-Fiが使えるエリアはどんどん増えていますよね？ インバウンド需要の取り込みや2020年の東京オリンピックに向けて、訪日外国人向けのWi-Fi環境は改善されつつあります。インバウンドを取り込むための Japan Connected-...

ischool.co.jp

2016.05.10

まとめ

以上がJoomlaで2段階認証を設定する方法です。

第三者の不正ログインを防ぐことができますので、必ず設定するようにしてください。

2段階認証の設定を行えば、管理画面からのログインだけでなく、フロントエンドからログインする場合も、2段階認証が有効になるので、セキュリティは高まります。

WordPress や Joomla でファイルの改ざん・・CMSのシェアもあり

ここ2週間、WordPress や Joomla などで、CMSの構成ファイルの改ざんが行われています。 PHPファイルが改ざんされると、閲覧者のブラウザに不正なコードが挿入されてマルウェアに感染してしまいます。 かなり被害は拡大しているの...

ischool.co.jp

2016.03.09