WordPressで2段階認証を導入して乗っ取りから守ろう!
世界トップ100のブログで使用されているCMSは、なんと50%以上がWordPressと言われています。これだけシェアが高いWordPressなので、様々な情報も豊富でとても便利に利用することができます。
しかしその反面、ブルートフォースアタックと呼ばれるログイン認証への総攻撃によりサーバーが落ちたり、最悪の場合は乗っ取られてしまうというケースもよく耳にします。以前もロリポップ!レンタルサーバーで大量の乗っ取りが発生し、サイトが改ざんされたと話題になったこともあります。
どのようなシステムであっても脆弱性はあるでしょうし、乗っ取られたりする可能性がゼロではありません。ですから「WordPresがダメ」というわけではなく、どのようなシステムであってもできるセキュリティ対策はやっておくことが大切です。
WordPressに限らず、簡単に第三者からログインされないようにする方法として、ID・ユーザー名とパスワードを複雑にするということが言われます。これはもちろんその通りにすべきだと思いますが、これだけでは決して安心はできません。もう一手間加えてよりセキュリティを強固なものにする必要があります。
WordPressでGoogleの2段階認証を導入
セキュリティを強固なものにする方法として2段階認証の導入が考えられます。実はWordPressでも2段階認証を導入することができる無料プラグインが存在し、しかもそのシステムはGoogleの2段階認証を利用するというものです。※Googleの2段階認証についてはこちらの記事をご覧ください。
今回はその導入方法を解説していきます。
Google認証システム
まず最初にスマートフォンやタブレットに2段階認証を利用するためのアプリを入れます。アプリのダウンロード方法は“こちらの認証システムヘルプページ”に記載されていますので、それをご覧になりアプリを入れてください。
プラグインの導入
WordPressのプラグイン『Google Authenticator』をインストールして下さい。インストールしたら有効化して、ユーザーのプロフィール画面にアクセスしましょう。
「Google Authenticator Settings」という項目が表示されていると思います。「Active」にチェックを入れ、「Description」にはどのサイトか分かるような名前を入れて更新します。※この段階ではログインしたままで、ログアウトしないように注意してください。
次に「Show / Hide QR code」のボタンをクリックして、QRコードを表示させます。このQRコードを先ほどインストールしたアプリで読み込みます。
アプリでQRコードを読み込む
アプリを起動して「アカウントを設定」をタップして「バーコードをスキャン」を選択します。カメラが立ち上がりますので、先ほどのQRコードをスキャンしてください。
スキャンに成功すると20秒毎に切り替わるワンタイムキーが表示されます。
再ログイン
ここまでできたらWordPressからログアウトしてみて、再度ログインをしてみましょう。今までなかった「Google Authenticator code」項目が表示されますので、ここにアプリで表示されるワンタイムキーを入力してログインします。
乗っ取られてから「やっておけば良かった」とならないように、問題ないうちに認証システムを導入してみてください。