インターネット上に公開するWebサイトは、常に悪意のある攻撃にさらされています。
現に、弊社サイトにおいても、色々な対策は打てど、日々数十件の攻撃を受けております。
特にWordPressについては利用シェアも高く、かつセキュリティ対策が甘いサイトが多いということもあり、より狙われやすいと考えられます。
WordPressは管理者でログインされてしまうと、コンテンツ全てがコントロールされてしまいます。
一度事件が起きてしまうと後始末がとんでもなく大変です。
そんな残念なことを極力避けるために、ログイン時のセキュリティを強化しましょう。
※なお、WordPressの脆弱性や、サーバーそのものの脆弱性などによる不正アクセスを完全に防げるものではありません。
はじめに
WordPressへのログインを強化します。
通常の「ID+パスワード」に加えて、「二段階認証(2FA)のワンタイムパスワード」が必要な形にします。
当手順は、弊社から依頼があった場合に実行してください。
手順
1. Google Authenticatorをインストール
二段階認証のアプリとして「Google Authenticator」を利用します。
iPhone / Android 双方にありますので、App Store / Playストア からダウンロードしてください。(無料アプリ)
なお、どれか1台の端末でしか登録ができませんので、登録した端末の紛失にはご注意ください。
2. 設定画面に移動
WordPressにログインし、Login Security に移動してください。
3. 2FAの登録
まず、Google Authenticatorを紛失した時に備えて、バックアップコードをダウンロードしてください。
テキストファイルがダウンロードできます。
こちら、なくさないように管理してください。
次に、「Google Authenticator」アプリを使い、QRコードを読み込んでください。
読み込むと「Google Authenticator」上にワンタイムパスワードが表示されますので、その内容をWordPress画面に入力してください。
(正しく設定できているかの確認になります)
こちらで設定は完了です!
ログイン時
ID、パスワードを入力した後に、以下のような画面に遷移します。
毎回「Google Authenticator」に表示されるワンタイムパスワードを入力してください。
FAQ
Google Authenticatorを紛失してしまいました・・・
緊急時のコードを利用し、ログインしてください。(手順でダウンロードしたコード)
2FA Codeにワンタイムパスワードを入力する代わりに、緊急時のコードを入力します。
4×4の英数字16文字が1セットです。4文字ごとにある半角スペースも入力が必要です。
(半角スペース入れると19文字)
1度利用したコードは再利用できません。
その後、「Google Authenticator」をご準備いただき、再度2FAの設定を実施してください。
この時、あらためて緊急時のコードをダウンロードするのを忘れないようにしてください。
緊急時のコードも紛失してしまいました・・・
WordPressの他管理者でログインすれば、他アカウントの二段階認証設定を解除することが可能です。
一度解除いただき、改めて設定をしてください。
他にログインできる人もいません・・・
サーバーに直接ログインし、処置をする必要があります。
システム管理者にご相談ください。
補足
当二段階認証の機能は、「Wordfence Login Security」というプラグインをインストールすることで実装できます。
無料で利用できますので、是非、セキュリティ強化にお役立てください。
※対応される際は、自己責任でお願いします。
