こんにちは。
知人のブログがアクセス不能になったとの連絡がありました。
WordPress の脆弱性についてのニュースはこれまでにもいろいろとありました。
場合によってはサーバ上でコンテンツを改ざんされる可能性もあったりします。
サイトがそんなことになってしまったら悲惨です。
やはりセキュリティ対策はしっかりやっておかないといけないなと痛感した次第です。
これまでにもいろいろとやってはいたんですけどね。
先日のことですが、WordPress(ワードプレス)の管理画面のダッシュボードのところにこんな表示が出ていました。
スパムコメントの数も多いんですが、それよりもびっくりしたのは「ブロックされた悪意あるログイン試行」というものです。
約42万件もあるじゃないですか!
不正にわたしのブログにログインをしようとしているってことです。
いや~、びっくりというよりも怖いですね。
不正にログインされてめちゃくちゃにされたりとかしたら、もうどうしようもないですからね。
そんなわけで今回は、セキュリティ強化のお話です。
WordPressのログインを二段階認証にするプラグインがあるんですが、それでセキュリティが強化できます。
その方法をわかりやすく解説していくので是非参考にしてくださいね。
それ以前にもっと基本的なセキュリティ強化もしておいたほうがいいのは言うまでもありません。
WordPressのログインについて
WordPressにログインする時にはユーザー名(またはメールアドレス)とパスワードが必要です。
管理人が運営しているサイトの1つがとんでもないくらいの回数の悪意あるログイン試行をされているので、さすがにこれは早めに対策をとらないとまずいなと思ったんです。
これまでにもセキュリティを強化するためにいろんなことをやっているので、今のところはものすごい回数のログイン試行をされているのにもかかわらず大丈夫なんだと思います。
でも、ユーザー名(またはメールアドレス)とパスワードが相手にわかってしまったら、それで終わりです。
ログイン画面へのアクセス自体は「自分のブログのURL/wp-admin」で簡単にアクセス出来てしまいますからね。
ですので、さらにログインが面倒なことになるように二段階認証を導入することにしたんです。
すぐにやらなければいけないと思ってはいたんです。
しかし、まずはほとんどがブログ初心者でセキュリティのことなんかよくわかっておられない熊本アドセンスコンサルスクールの生徒さんたちの方からやってもらいました。
これでサイトを簡単に乗っ取られたりする可能性はかなり低くなります。
二段階認証にするプラグインでセキュリティ強化する方法!
今回導入した二段階認証とは、WordPressにログインする時に、ユーザー名(またはメールアドレス)とパスワード以外に、スマホで生成されるセキュリティコードが必要になる認証方法のことです。
WordPressの方にはプラグインを導入します。
詳細は後で説明します。
なんと、セキュリティコードは30秒ごとに変わってしまいますから、サイト(ブログ)に不正ログインすることは不可能に近くなると思います。
ワンタイムパスワードみたいなものです。
これらの対策をおこなっていれば、ユーザー名(またはメールアドレス)とパスワードが仮に流出したとしても第三者が不正にログインすることはほぼ出来ないと思います。
WordPressプラグイン「Google Authenticator」とスマホ認証アプリ
これからWordPressで二段階認証を設定する方法を説明していきます。
WordPressの管理画面(ダッシュボード)に入ってください。
そして、「プラグイン」⇒「新規追加」をクリックします。
右上の検索窓に「Google Authenticator」と入力して、「Google Authenticator」が出てきたら「今すぐインストール」をクリック。
その後に「有効化」をクリックします。
これでプラグイン「Google Authenticator」の導入は終わりです。
次に、スマホに認証アプリをインストールします。
Googleの認証アプリです。
もちろん、無料です。
iPhone(iPad)は「Google Authenticator」でAndroidは「Google認証システム」という名称になっていますが同じアプリです。
これでスマホの方もOKです。
この後はいよいよWordPressに二段階認証を設定します。
管理画面(ダッシュボード)で「ユーザー」に入ってください。
そして、二段階認証にするユーザーを選んでクリック。
すると、「プロフィール」という画面になりますが、その下の方にいくと「Google Authenticator」の設定のところがあります。
ここでプラグインの設定ができます。
下の画像のように「Active」にチェックを入れて、「Show / Hide QR code」をクリックします。
すると、QRコードが出てきます。
この後に先ほどインストールした スマホの認証アプリでQRコードを読み込みます。
最後に、画面の一番下にある「プロフィールを更新」をクリックして終わりです。
これでWordPressのブログ(サイト)のログインが二段階認証となりました。
すべての設定が完了です。
一度ログアウトした後に再度ログイン画面に行くと、Google Authenticatorのコードを入力する画面が表示されます。
ユーザー名(またはメールアドレス)とパスワードに加えて、Google Authenticatorのコードを入力するボックスが出ます。
コードを入力したらWordPressにログイン可能となります。
コードは30秒ごとに変わるので入力にあまりに時間がかかるとログイン出来なくなるので注意してくださいね。
スマホが使えなくなってログインできない場合
万が一スマホが壊れたりしてアプリが使えない状況になった時の対策も説明しておきます。
まずは、あらかじめスマホが使えなくなることがわかっている場合。
そんなことはないんでしょうけど、その場合はプラグイン「Google Authenticator」を停止しておけばいいだけです。
次に、スマホが壊れたりとか、認証アプリが機能しなくなった場合なんですが、「FFFTP」などのFTPソフトでサーバーにアクセスして、プラグイン「Google Authenticator」を削除すれば大丈夫です。
そうすれば、ログイン時に「Google Authenticator 」のコード入力ボックスがなくなって二段階認証なしでログイン出来るようになります。
