WordPress のセキュリティ対策として、意外にも見落とされがちなのが「二段階認証」だ。あなたの WordPress サイトは、管理者権限のあるユーザーに「二段階認証」を設定しているだろうか?
二段階認証を導入すれば、悪意のある第三者にユーザー名とパスワードによるログインを突破されたとしても、管理画面ダッシュボードへのアクセスを防ぐことができる。導入は驚くほど簡単で「たった五分」で設定できてしまう。
WordPress のセキュリティを強化したい Web 担当者の方は、今回ここで紹介している方法を参考に、今すぐ「二段階認証」を導入しよう!
1. Two-Factor プラグインを入れる
WordPress でとても簡単に「二段階認証」を導入してセキュリティを強化できるおすすめのプラグインがこちら。その名も Two-Factor!直訳すると「二要素」というまさにそのままなネーミングだが、それも分かりやすくて良い。
プラグインをインストールしたら、次の場所に二段階認証の設定についての情報が表示されるようになる。もちろん、最初はどのユーザーもまだ二段階認証が設定されていない状態だ。
◆ユーザー一覧
◆プロフィール編集画面
二段階認証の方式はいくつか用意されており、複数有効にすることも可能だ。今回は、設定がとても簡単でかつ安全性の高い「時間ベースのワンタイムパスワード」をメインの認証方式に設定する。メールアドレスではなくてアプリが必要になるので、次はアプリを準備しよう。
2. 二段階認証用アプリを準備する
二段階認証用のアプリは、スマホとタブレットのどちらでもインストールすることができる。アプリ名は「Google 認証システム」で、英語表示なら「Google Authentication」になる。
iPhone、iPad、iPad Pro、iPod Touch などの iOS 端末では App Store から、Android なら Google Play Store からアプリをダウンロードしよう。アプリがインストールできたら、早速「二段階認証の初期設定」を行おう。
3. QRコードを読んで初期設定する
WordPress のダッシュボードからユーザーの編集画面を開いたら、Two-Factor 設定の欄に表示されている「QRコード」を見つけよう。
同時に、二段階認証に使う端末のアプリ側ではアカウント追加に「バーコードをスキャン」の方法を選択する(もしカメラが使えない場合は手動でキーを入力することも可能だが、キーの入力はかなり手間でスキャンする方が楽だ)。
初回は Android も iOS もカメラの使用を許可するか尋ねられるので「許可」をする。
あとは赤線内にQRコードが入るようカメラを動かすだけ。画面操作は何も必要ない。
QRコードが読み込まれば、次のような画面に遷移して「6桁の認証コード」が表示される。
この認証コードを WordPress のユーザー編集画面で入力・送信したら初期設定が完了する。ユーザー一覧でも、次のように表示が変わっているはずだ。
これで、次回のログインからは「パスワード」ログインを通過した後「二段階認証コード」の入力を求められるようになる。
Google 認証システムの認証コードは30秒経過すると変わる仕組みで、管理者自身が設定した端末を所有していない限り、この二段階認証はまず突破できないはずだ。
4. バックアップ認証コードを残す
ここまでで「Google 認証システム」アプリの二段階認証は導入できたが、アプリを設定した端末が何かの理由で初期化されてしまったり、壊れたりした場合、管理者本人なのにログインできない状況が発生してしまう。
そこで、ユーザーの編集画面で「バックアップ認証コード (使い捨て) 」も設定しておこう。
有効のチェックをして「検証コードを生成」のボタンを押すだけなので、こちらも簡単だ。
とはいえ、バックアップ検証コードは必須ではない。サイト管理者である限り、二段階認証ができなくても「サーバーに直接アクセス」することができるため、最悪の場合はプラグインをサーバーから削除してしまえば良いからだ。
とにかく、管理者なのに二段階認証できないという事態が起こってしまったとき、どのように対処すべきかは事前に考えておこう。
まとめ
今回は、WordPress に「二段階認証」を設定する最もおすすめの方法をパパッと紹介した。
そのまま手順に沿って行えば5分で設定できてしまうほど簡単だが、セキュリティの強化には非常に効果が高いため、是非とも導入しよう!
会員制 WordPress サイト、eコマース機能のある WordPress サイトなど、不正アクセスを防ぐセキュリティ対策の実装は必至なので、セブンペイみたいにならないように!