WordPressのセキュリティを意識したことはありますか?
実は先日こんなメールがWordpress.comから送られてきました。
Google翻訳を使って訳すと
あなたのログイン情報が、セキュリティ研究者の一覧にあるからパスワードを変更した方がいいです。異なるウェブサイトで同じパスワードを使用すると、ハッキングされるリスクが高くなります。それぞれに異なる強力なパスワードを設定するといいでしょう。パスワードを変更した後は2ステップ認証を有効にすることで、アカウントのセキュリティをさらに強化することを強くオススメします。-Wordpress.com
といった内容でした。
とも思ったのですが、どうも本物っぽい。同じ事例は検索してもヒットしませんでしたが、送信元もWordpressですし、フッターのリンクもWordpressにリンクするので本物と断定。であればヤバイな…ということでWordpressのセキュリティを真剣に考えました。
そこで色々調べた結果、今ある選択肢の中では「Wordpressのログインに二段階認証を設定する」が限りなく強力という結論に至ったので設定を行いました。
今回の記事ではその設定のやり方とメリットをご案内しようと思います。
WordPressは自社管理のメディアですから、問題が起きてからどうするか?ではなく、起こらないようにどうするか?という予防の考え方がとても大切です。『私は大丈夫』とは思わず、この記事を見たことをきっかけに早めにセキュリティを高めることをオススメします。
スポンサー:1日2時間で月1000万円稼ぐアフィリノウハウ
がむしゃらに記事とメルマガを書いて月10万円しか稼げなかった男が、「あること」を導入したことで月1000万円を稼ぐようになった…そのあることを今から公開します。アフィリエイトはコツを掴むと報酬が爆発するケースが多いのでこれはチェックをオススメします。また、今回の企画ではノウハウだけではなくPDF約100冊や、動画約25個も無料とのことですので、これからアフィリエイトに取り組む方にもオススメできる内容ですね。
■無料:1日2時間で月1000万円稼ぐアフィリノウハウ
WordPressログインにおいて個人が出来るセキュリティ対策としては「二段階認証」が最強とされている
では順番に解説していきたいと思います。
今回お伝えするセキュリティ強化策は「2段階認証」というものです。これまではログイン時にログインID+パスワードでログインが出来ていたと思います。それを強化して、
- ログインID
- パスワード
- 2段階用パスワード
を入力しないとログイン出来ないようにします。ちなみにこの2段階用パスワードは30秒に一回リセットされる仕組みで、今考えられる個人が出来るセキュリティ対策としては最強とされているものです。
その二段階認証を設定すると、Wordpressのログイン画面はこのようになります。
二段階認証設定後のWordpressログイン画面
この画面を見ると分かる通り、これまでのログイン画面に2段階認証用の窓が追加され、これを入力しないとログイン出来ないようになっています。
早速設定していきましょう。
WordPressログインに「二段階認証」を設定する手順
この二段階認証はプラグインを使って、簡単に設定することが出来ます。
手順は以下の通りです。
- WordPressのプラグイン「Google Authenticator」をインストールし、有効化する
- スマートフォンに「Google認証アプリ」をインストール
- WordPressの設定>ユーザーで「2段階認証」を設定
- スマートフォンの認証アプリで、ワードプレスのQRコードを読み込む
- 万が一のために、ワードプレスのQRコードをプリントしておく
- プロフィールを更新する
- WordPressに2段階認証の設定が反映されていることを確認する
以上の流れで設定をしていきます。
1.Wordpressのプラグイン「Google Authenticator」をインストール
まずはWordpressプラグイン「Google Authenticator」をインストールします。
プラグインの検索窓に「Google Authenticator」を入れると、この画面が表示されるのでインストールしてください。その後、有効化しておくことも忘れないようにしておきましょう。
2.スマートフォンに「Google認証アプリ」をインストール
iphoneなどのiOSは「Google Authenticator」で検索。Androidは「Google認証システム」で検索をします。
このアプリをインストールしておきます。
3.Wordpressの設定>ユーザーで「2段階認証」を設定
WordPressの設定→ユーザーに進みます。
ユーザー名をクリックして、開きます。
Google Authenticatorの設定が表示されているはずなので、そこで以下のように設定します。
Activeにチェックを入れたあと、「Show/hide QR code」をクリックします。すると上の画像のようにQRコードが表示されます。
4.スマートフォンの認証アプリで、ワードプレスのQRコードを読み込む
スマートフォンの認証アプリを開きます。
右上の「+」をタップすると、下に「バーコードをスキャン」の表示が出てくるのでタップ。その後にWordpressに表示されているQRコードを読み込んでください。読み込みが終わると、認証アプリのトップ画面にWordpress用の2段階認証コードが表示されるようになったと思います。
二段階認証コードは30秒に一回リセットされ、これが永遠に続く仕様になっています。
5.万が一のために、ワードプレスのQRコードをプリントしておく
二段階認証を設定すると、二段階認証用のコードが無いとログインができなくなってしまいます。
なので3.で表示される二段階認証用のQRコードはプリントしておくことをオススメします。
これを無くさないように保管しておけば、携帯を壊したり、紛失したとしても、新しい携帯で認証アプリを入れて読み込むことでログインが出来るようになります。
スマートフォンやタブレットなどの端末を2台以上持っている方は、万が一に備え、それぞれに認証アプリを入れてQRコードを読み込ませておけばバッチリです。
6.プロフィールを更新する
ここまでの設定が終わったら、一度Wordpressの画面に戻ります。
最後までスクロールをして、「プロフィールを更新」をクリックして完了です。
7.Wordpressログイン画面に2段階認証の設定が反映されていることを確認する
これで設定は完了です。
一度Wordpressをログアウトして、再度ログイン画面にアクセスしてみてください。最初に当記事でお見せした画面に切り替わっていたら無事に設定完了です。
早速二段階認証コードを使ってログインを試してみてください。
もしスマホが壊れ、予備のQRコードのプリントも紛失したら
なかなか無いとは思いますが、もし万が一、スマホが壊れ、予備のQRコードのプリントも紛失したらどうやってログインするの?という話ですが、これは簡単な方法で解決することが出来ます。
FTPソフトでWordpressにアクセスし、プラグインから「Google Authenticator」を削除すればOKです。
するとログイン画面から二段階認証の枠が消えて、通常通りログイン出来るようになります。万が一の時はこの方法を試すことをオススメします。
パスワードも強力なものにしよう!
せっかくなのでログインパスワードも強力なものに設定しておくことをオススメします。
ログインパスワードは自分で考えるのではなく、こういったパスワード生成サービスを利用するのが良いと思います。
このツールで、強度を「最強」、文字数12にして生成すると本当に強力なパスワードが生み出されます。
こういった強度の高いパスワードは一度忘れたり、紛失したりすると本当にログインが出来なくなります。Wordpressはパスワードを忘れた時に新パスワードを生成出来るので問題ありませんが、なるべく忘れないよう、無くさないようにする工夫をしておきたいですね。
まとめ
タイミングを考えるとベストな時にWordpress.comから通知が来たな…と思います。
私が当サイトを作って間もなくの頃(今から4年ほど前)にWordpressの脆弱性を狙ったハッキングが流行って、一時大問題になっていました。それから4年経過していて、危機管理の意識が薄くなっていた時期だったので本当にちょうどよかったです。
また、この記事にアクセスしてくれた方も、このタイミングなので私と一緒にWordpressのセキュリティを強化しておくことをオススメします。やるまでは面倒ですが、やってしまえば安心感が全然違いますよ!
