ブログを運営している方の多くがWordPressを利用しているのではないでしょうか。
このCMSはユーザーが多くて情報量も多いというメリットがありますが、同時に悪意のある第三者から狙われやすいリスクも持っています。
大切なブログを不正ログインから守るため、あなたは WordPressに何か対策を施していますか?
管理画面にパスワードを設定してますけど・・
これだけではダメですか?
パスワードだけではとても危険ですよ。
簡単に突破されて、コンテンツを破壊されることだってあり得ます。
苦労して構築したサイトを壊されたら最悪じゃん!
どんな対策をすべきですか?
まずは管理者ページに「2段階認証」を導入してみましょう!
この記事ではWordPressのセキュリティを強化したい方に向けて、プラグインを利用した2段階認証の方法を解説します。
さっそくあなたのサイトにも導入してみましょう。
「Two-Factor」プラグインの導入
「Two-Factor」というWordPressプラグインを利用して2段階認証を導入します。
さっそくインストール作業に入りましょう。
インストール
WordPressの管理画面にログインし、メニューの「プラグイン」ー「新規追加」を選択してください。
ここで「two factor」とキーワード入力して検索すると、「Two-Factor」 という名のプラグインが見つかるはずです。
これを「今すぐインストール」しましょう。
インストール後は「有効化」を忘れずに!
2段階認証を設定
プラグインが使えるようになったら、管理メニューから「ユーザー」ー「プロフィール」と進んでください。
すると画面の下の方に「Two-Factor 設定」という項目が追加されていますよね。
ここでは「2段階認証」の手段として次の4つを設定できます。
- Time Based One-Time Password (認証アプリで認証コードを生成する)
- メール(メールで認証コードを受け取る)
- FIDO U2F 秘密鍵(物理的なセキュリティーキーを用いて認証する)
- バックアップ認証コード(使い捨ての認証コードを使う)
今回は認証アプリを使った2段階認証をメインとして設定。
さらに予備としてメール使った認証も設定したいと思います。
今回の認証にあたっては「Google Authenticator」などのスマホアプリを利用しますが、みなさんのスマホには入っていますか?
まだの方はあらかじめインストールしておいてください。
準備ができたら認証アプリを活用した2段階認証から設定していきます。
まずはスマホの認証アプリで新規アカウントを追加してください。
そしてWordPressの「Two-Factor設定」画面に表示されたQRコードを読み取りましょう。
「Time Based One-Time Password」を有効にするチェックを入れます。
つづいて認証アプリで生成された「認証コード」を入力し、「送信する」をクリックしてください。
これで認証アプリを活用した2段階認証が有効になりました。
今後はこれがメインの認証手段となります。
つづいて認証アプリが使えない場合を想定し、予備の2段階認証としてメールでの認証も追加設定しておきましょう。
メールを有効にするチェックを入れ「プロフィールを更新」します。
(こちらをメインには指定しないでください。)
これで次回のログインからは次の2つの認証が使えます。
- 認証アプリを利用した2段階認証(メイン)
- メールを利用した2段階認証(サブ)
ログイン時の2段階認証
では一旦管理者ページからログアウトし、再度ログインしてみましょう。
2段階認証の動作が確認できるはずです。
認証アプリを活用した2段階認証
ユーザー名とパスワードを入力してWordPressの管理者ページにログインしてみましょう。
以前はこれだけで管理画面に入れたはずですが・・
今後は2段階認証として「認証コード」の入力を求められます。
スマホの認証アプリを起動し、そこで生成された「認証コード」入力してください。
認証コードにまちがいがなければ無事にログインできるでしょう。
つまりこのスマホがなければ先に進めないという訳ですね。
これなら他人にログインされる心配はなさそうだ。
メールを活用した2段階認証
もし何らかの要因で認証アプリが使えなかったらどうしよう・・
管理者本人なのにログインできないのでは?
(予備の認証として)メールによる認証も設定してあれば安心です。
認証コードを求められた際に、下にある「メール」をクリックしてください。
するとWordPressに設定されたアドレスにメールが送られたはずです。
メールに書かれている「認証コード」を入力してください。
無事にログインできました!
これがメールを利用した2段階認証なんですね。
どうしても2段階認証できないときの対処法
スマホを紛失しちゃった・・
認証アプリもメールも使えないからログイン認証できないよ・・
そんなトラブル時も回避方法はありますよ。
何らかの理由で2段階認証ができない場合は FTPソフトを使ってサーバーにログインし、次の手順で「Two-Factor」プラグインを一旦無効化してください。
①FTPソフトでサイトにログインする。
②WordPressが入ったディレクトリに移動し、「wp-content」「plugins」と進む。
③そこにある「two-factor」というディレクトリ名を別の名称にリネームする。
④リネームしたことにより「Two-Factor」プラグインは無効化される。
「Two-Factor」プラグインが無効化されればログイン時の2段階認証はなくなります。
IDとパスワードのみでログインできますので、あとは適切な処置を行ってください。
まとめ
もしあなたがWordPressを利用しているのなら、不正アクセスからブログを守るために「2段階認証」を導入しましょう。
今回は「Two-Factor」プラグインを導入し、「認証アプリを活用した2段階認証」と「メールを活用した2段階認証」を追加する方法について解説しました。
"備えあれば憂いなし"
セキュリティ対策はしっかり行なっておきましょう!