WordPressの脆弱性を狙った攻撃が増加しています。
WordPressのようなCMS(コンテンツマネジメントシステム)でウェブサイトを運営している方は、必ず2段階認証をかけるようにしてください。
以前、Joomlaの2段階認証の設定方法のエントリーを書きました。
Joomla同様、WordPressの場合も、必ずと言っていいほど、外部からログイン画面への攻撃があリますからね。
今日は、WordPressの2段階認証の詳しい設定方法についてです。
WordPressのログイン画面は、「ドメイン/wp-admin」のURLでアクセスできます。ウェブサイトの乗っ取りを仕掛けるハッカーは、ログイン画面でIDとパスワードを片っ端から入力してきますから、2段階認証をかけてクラックから防御しましょう。
2段階認証とは
以前のエントリーに詳しく書きました。
2段階認証とは、ログインする際に、IDとパスワード以外に、スマホで生成されるセキュリティコードが必要になる認証方法のことを指します。セキュリティコードは30秒毎に変化するので、2段階認証を設定しているアカウントをクラックすることはほぼ不可能です。
2段階認証を設定することで、IDとパスワードが流出したとしても、第三者による不正ログインを未然に防ぐことができるのです。
WordPressで2段階認証をする際に必要なもの
以下2つが必要です。
- WordPressにプラグイン「Google Authenticator」をインストール
- スマホに「認証アプリ」をインストール
WordPressで2段階認証を設定
以下の手順でWordPressに2段階認証を設定します。
- プラグイン「Google Authenticator」をインストール
- スマホに「認証アプリ」をインストール
- WordPressの「設定」→「ユーザー」へ進み、2段階認証を設定
- スマホの「認証アプリ」でQRコードを読み込む
- スマホ・タブレットを複数台持ってる人は、別の端末でも4のQRコードを読み込む
- プロフィールを更新
- WordPressに2段階認証の設定が完了
1. プラグイン「Google Authenticator」をインストール
WordPressの管理画面に入って、「プラグイン」→「新規追加」をクリックします。
右上の検索ボックスに「Google Authenticator」と入力して、「Google Authenticator」が出てきたら「今すぐインストール」をクリックします。
「有効化」をクリックします。
2. スマホに「認証アプリ」をインストール
認証アプリは、Googleの「認証アプリ」をインストールします。
iOSは「Google Authenticator」、Androidは「Google認証システム」と同じアプリなのに名称が違いますので注意してください。
3. WordPressの「設定」→「ユーザー」へ進み、2段階認証を設定
WordPressの「設定」→「ユーザー」へ進み、2段階認証を設定します。
2段階認証をかけるユーザーを選んでクリックします。
「Google Authenticator」プラグインの設定ができるので、Activeにチェックを入れて、「Show / Hide QR code」をクリックします。QRコードが出現します。
4. スマホの「認証アプリ」でQRコードを読み込む
スマホにインストールした「認証アプリ」でQRコードを読み込みます。
5. スマホ・タブレットを複数台持ってる人は、別の端末でも4のQRコードを読み込む
スマホが壊れたり、スマホの「認証アプリ」が動作しなくなると、WordPressにログインができなくなってしまいます。それに備えて、スマホ・タブレットを複数台持ってる人は、複数の端末に「認証アプリ」をインストールして、4のQRコードを読み込んでください。
万が一、メインで使っているスマホが壊れても、サブのスマホの「認証アプリ」を使えば、ログインできます。
6. プロフィールを更新
WordPressの画面に戻って、一番下までスクロールして「プロフィールを更新」をクリックします。
7. WordPressに2段階認証の設定が完了
お疲れ様でした。これでWordPressに2段階認証の設定が完了します。
一度ログアウトしてログイン画面に行くと、Google Authenticator codeを入力する画面が出てきます。
ユーザー名とパスワードに加えて、スマホにインストールした「認証アプリ」のコードをGoogle Authenticator codeのボックスへ入力すれば、WordPressにログインできます。
スマホの認証アプリが動かなくなったら・・・
スマホが壊れたり、機種変更時に認証アプリがうまく引き継げなかったりすると、「認証アプリ」が動かなくなることがあります。
「認証アプリ」が動かなくなった場合は、FTPでWordPressが入っているサーバーにアクセスして、「Google Authenticator」のプラグインを削除すればOKです。
次回、ログイン画面にアクセスすると、「Google Authenticator code」の入力ボックスが消えて、2段階認証が不要でログイン可能になります。
FTPを使って「Google Authenticator」のプラグインを削除
FTPでWordPressが入っているサーバーにアクセスします。
「Google Authenticator」のプラグインは以下の場所にあります。
- wp-content → plugins → 「Google Authenticator」
で、「Google Authenticator」のフォルダを削除すれば、2段階認証はオフになります。
WordPressのセキュリティを上げる方法
2段階認証に加えて、次の設定を行うことで、WordPressのセキュリティは上がります。
- Basic認証
- 海外IPから管理画面へアクセスを制限
- プラグインで攻撃を防御する
Basic認証
元々HTTPが持っているユーザー認証方式です。Basic認証でアクセス制限をすれば、管理画面へアクセスがあると「ID」と「パスワード」の入力が必須となります。
管理者以外がアクセスを試みると、401認証エラーが返されます。
海外IPアドレスから管理画面へアクセスを制限
海外IPアドレスからの管理画面へのアクセスを制限することで、セキュリティが上がります。
WordPressの管理画面への不正アクセスは、圧倒的に海外IPからの攻撃が多いです。
「.htaccess」に記述をしてもいいし、Xserverなど主要なレンタルサーバーでは、レンタルサーバーの管理画面から「海外IPからのアクセス制限」をすることが可能です。
プラグインで攻撃を防御する
WordPressのプラグイン「Login LockDown」をインストールすれば、ログイン回数の制限をかける事ができます。
例えば、10分の間に3回ログインに失敗したら24時間ログインできないようにするとかね。
まとめ
以上がWordPressで2段階認証を設定する方法です。
外部からの不正ログインを未然に防ぐことができますので、必ず設定してくださいね。
ナレッジ