WordPressは世界的にもシェアが高く、不正ログインなどの攻撃の対象となりやすい現状があります。個人のブログであってもセキュリティ対策は重要になります。

優先度高でやるべきなのは不正なログイン対策です。簡単なパスワードで不正不正ログインされるのは当然ですが、今ではパスワード認証のみでも不安なのが現状です。そこで、今回はWordPressの管理画面へのログインをワンタイムパスワードを用いた二要素認証に対応させる方法を解説します。

二要素認証とは

二要素認証という言葉は少し聞き慣れないかもしれません。しかし二段階認証という言葉は聞いたことあると思います。「セキュリティ向上のために二段階認証を設定しましょう」という記事も多く見かけます。

まずは、二要素認証について簡単に説明します。

認証方式には大きく3つの種類があります

まず、二段階認証と二要素認証の違いを説明する前に、認証の種類を簡単に説明します。

  • 知識認証・・・パスワードなど本人のみが知っている事柄で認証する方式
  • 所有物認証・・・ワンタイムパスワードなど本人が所有しているデバイスを用いて認証する方式
  • 生体認証・・・指紋などの本人固有の生態情報をつかって認証する方式

二段階認証

二段階認証とは、異なる認証を2回実施する事を言います。

例えば、「パスワード認証の後に秘密の質問で認証する」というものが二段階認証に当たります。認証の種類でいうと、知識認証と知識認証の組み合わせです。

二要素認証

二要素認証も、二段階認証と同じく2つの認証を用います。しかし二段階認証と違うのは、異なる認証方式を用いる点です。

例えば、二段階認証で例としてあげた「パスワード認証の後に秘密の質問で認証する」は二要素認証ではありません。知識認証と知識認証という1つの認証方式のみで構成されているからです。

二要素認証となるのは、パスワード認証+ワンタイムパスワード認証の様な組み合わせです。この場合、知識認証と所有物認証の組み合わせになり、2つの要素から構成されています。

二要素認証が必要な理由

二要素認証が必要な理由は、セキュリティが向上するからということになります。例えばパスワード認証と秘密の質問の組み合わせの場合、パスワードと秘密の質問という知識が外部に漏れれば不正にログインされます。パスワード認証とワンタイムパスワードの組み合わせだと、パスワードという知識が漏れてもワンタイムパスワードを表示するスマホなどのデバイスがなければ不正アクセスはできません。

このように、二要素認証にすることで不正ログインのリスクを下げることができます。言い方を変えると二要素認証になっていない二段階認証では、不正アクセスのリスクを下げる効果は限定的になってしまいます。

プラグイン「Wordfence Security」を導入する

今回、WordPressの管理画面へのログインに対して、ワンタイムパスワードを用いた二要素認証を利用するためにプラグイン「Wordfence Security」を利用します。

プラグインのインストール

プラグイン「Wordfence Security」はWordPressの管理画面上からインストールすることができます。

インストール後、プラグインを有効化すると以下の様なセットアップ画面が表示されます。真ん中のテキスト入力欄には、メールアドレスを入力します。入力したメールアドレス宛に、サイトのセキュリティに問題が見つかった場合に警告をメールで送信してくれます。(設定でメール送信を止めることもできます。)

真ん中にある、YES/NOに関しては基本的にNoで問題ありません。YESにすると、WordPressのセキュリティに関するメーリングリストへの参加となります。

最後に以下の画面が表示されます。今回は無料プランで利用しますので右下のNo Thanksを選択します。

ここまででプラグインのインストールは完了です。

二要素認証の設定

WordPressの管理画面の左側のメニューに、「Wordfence」が追加されています。その中に「Login Security」がありますので、そこから設定を行います。

「Login Security」を開くと、二要素認証のチュートリアルが始まりますが終了してください。(英語でも問題無ければ最後まで確認しても大丈夫です。)

そうすると、二要素認証の設定画面が表示されます。まずは左側の「1.Scan Code or Enter Key」から実施していきます。大きく表示されたQRコードをGoogle Authenticatorなどのアプリで読み取るか、その下のコードを入力します。

うまく設定できたら、アプリ上に6桁のワンタイムパスワードが表示されます。このコードは一定間隔で更新されますので、それも確認します。

次に「2.Enter Code from Authenticator App」を実施していきます。下の画像を参考に、まずは緊急時用のレスキューコードをダウンロードします。このコードは、ワンタイムパスワードを受け取るスマホが使えなくなった場合などにログインする際に使用しますので大切に保管してください。

緊急時用のコードの保存が完了したら、先ほど設定したアプリ上に表示されているワンタイムパスワードを入力してACTIVATEしてください。

設定が完了すると、以下の表示に変わります。「Wordfence 2FA Active」のDEACTIVATEで、ワンタイムパスワードによる二要素認証を無効にすることができます。

二要素認証を試してみる

設定が最後まで完了したら、1回ログアウトして再ログインして試験を実施してみます。

通常通り、ユーザ名とパスワードを入力してログインしようとすると、「2FA Code」の入力が求められます。ここに先ほど設定したアプリなどに表示されているワンタイムパスワードを入力するとログインすることができます。

ログインが成功するとメールでログイン通知が来ます。これによって自分がログインしていないときのログインにも気付くことができます。

PVアクセスランキング にほんブログ村

Twitterでフォローしよう

おすすめの記事