WordPressのセキュリティを高めるには、簡単にログインできないようにすることが第一の対策です。もっともよく使われている対策はログイン時のパスワードを強化することですね。このようなサイトで最低10文字以上の英数字を生成するケースが多いかと思います。
パスワード強化だけでも十分効力はありますが、複数の人たちで管理している場合はパスワードが何かしらの理由で流出する可能性もなくはありません。その場合に有効なのが二要素認証です。例えば、万が一パスワードが流出しても、ログインの度にワンタイムパスワードや認証コードを必要とするようにすれば、ログインできません。
そうした二要素認証(二段階認証)の設定ができるのが今回ご紹介するWordPressプラグイン「Two-Factor」です。
二段階認証と二要素認証について
まずはセキュリティ強化の前に前提知識として下記の記事をご覧ください。
・「二段階認証」の誤解を解く。「二要素認証」「多要素認証」と何が違うか
・「二要素認証」と「二段階認証」の違い
・平成のうちにやめたかった『ITの7つの無意味な習慣』
「Two-Factor」機能概要
次の認証方式から2つまで(メインとサブ)を選択して、ログインを強化できます。組み合わせによって二要素認証と二段階認証が利用できます。
- メールアドレスに認証コードを送信
- Google認証システムによる認証コード送信
- FIDO(ファイド)認証
- アナログ式に認証コードを10個生成
- ダミーメソッドでログイン無効にする
「Two-Factor」プラグインのインストール
管理画面から「Two-Factor」を検索してインストールするか、下のボタンからもダウンロード可能です。プラグインファイルを wp-content/pluginsディレクトリにアップした後、管理画面から有効化してください。
初期設定とログイン方法
上の図では「バックアップ認証コード」をメイン、メールアドレスに認証コードを送るのをサブとしています。「バックアップ認証コード」は使い捨てのコードが10個生成されるので、これをあらかじめログインする担当者に教えておきます。
次に担当者はログイン時にIDとパスワード入力後に、認証コードを入力すればログインできます。それが上の図です。もし認証コードを10個使い切った場合や忘れてしまった場合は、サブのメールによる認証コード送信ができます。この二段階認証ですと、毎回ワンタイムの認証コードを生成する手間が省けますね。
ログイン強化しすぎないことも大事な視点
他にも組み合わせ次第でよりログイン強化できますが、あまり手間のかかるログイン方法を採用すると「ログインするのが億劫」になってしまい、業務面で支障が出てくるかもしれないのでそのあたりは注意が必要です。よほどの理由がない限りは、スムーズさを残しながらログイン強化できる方法を探るのがマストですね。
また、下記記事もご参考頂ければ幸いです。
「WordPressはセキュリティに弱い」 と言われているのはご存知でしょうか。 個人やフリーランスの方よりも、企業。特に大企業のWeb担当者はWordPressの脆弱性を意識される傾向があります。規模が大きな企業ほど社内コンプライアンスの意識が確立されていることに加え、被害が出た時のダ...
2020/05/02*情報を更新いたしました。 WordPressはシェア率の高いオープンソースのソフトウェアであるがゆえに、セキュリティが脆弱だと言われることがあります。ただ、実際のところはWordPress以外のCMSが自社のCMSを普及させたいがための「ウリ文句」であることは、WordP...
管理画面のログイン強化とは別に、サイトや特定のページにアクセス制限をかける方法は下記記事を参考にご覧いただけます。
WordPressサイトやページにアクセス制限をかける方法をまとめました。サイト全体やページごとにアクセス制限をかけたり、BASIC認証を設定する方法をご確認いただけます。 一部のユーザーのみに閲覧いただくページや、会員制サイトの作成・運営時に参考にご覧ください。いくつか方法があるので、それぞ...
