WordPress のログイン画面って怖くないですか?

 

 

たとえパスワードやIDを知らなくても、その入口にまで他の人が達することができる、というのはなんだか少し怖くないですか?

もはや、ユーザ!D と パスワード だけでは、ユーザーの情報は守り切ることはできません。じゃあ、どうすれば・・

二段階認証 と 二要素認証 とは ?

Gerd AltmannによるPixabayからの画像

実はここでお話する認証方法は、「二段階認証 (Two-Step Authentication) 」「二要素認証 (Two-Facter Authentication)」についてになります。

なんだかだまし討ちされたような気がするかもしれませんが、二段階認証と二要素認証は、情弱国家、日本1では混同して捉えられがちです。

そもそも、この「要素」というのは、

(1) 知識情報 (要素)
知識として知っていること。記憶していること。例えば、ID/パスワード文字列や、秘密の質問、PIN など。
(2) 所持情報 (要素)
持っていること。本人しか持っていないもの、あるいは本人しか所有していないデバイスに送信されるもの。例えば、デジタル証明書、ワンタイムパスワード、ショートメッセージ (SMS) など。
(3) 生体情報 (要素)
身体的な特徴。例えば、指紋、虹彩、顔静脈、声紋など。

このうちの 2つの要素を使用したのが、「二要素認証」となります。

では、「二段階認証」ってなんなんだ?

ということになるかもしれませんね。

例えば、まず ユーザーID と パスワード で第一段階の認証をして、その次に「秘密の質問」 で第二段階の認証をした場合、段階としては二段階で認証していますが、ユーザーID、パスワード、秘密の質問、ともに「知識情報」に関する要素なので、二要素認証ではない、ということになります。

従来の ユーザーID、パスワード などの知識情報による認証では、決して安全性が低いわけではありませんが2、多数のネットワーク上のサービスで ユーザーID や パスワードを使いまわしてしまうことで、結果、脆弱になってしまう、という問題があります。

そこで、今回のような ワンタイムパスワード を使用した認証方法のように、多要素認証を使用することでパスワード漏洩の危険性や、アカウントに対する不正アクセスを未然に防ぐことができるようになります。

 

WordPress に二要素認証を導入

というわけで、Wordpress に 二要素認証を導入してみましょう。

 

(1) スマートフォンに Google認証システム をインストール

まず、認証用のスマートフォンに (ここでは、Android 端末とします3) 「Google認証システム」 をインストールします。

Google 認証システム on Google App Store

Google 認証システム on Google App Store

 

(2) WordPress に Wordfence Security プラグインをインストール

次に、Wordpress サイトに管理者でログインして、Wordfence Security プラグインを追加します。

Wordfence Security は、Wordpress にファイアウォールやウィルススキャンといった機能を追加するプラグインで、二要素認証を使ったログインにも対応しています。

このログイン機能は、以前は有償だったものが現在 無料で使用できます。

ダッシュボードから、プラグインの新規追加で、「Wordfence」 で検索し、「インストール」 → 「有効化します」。

Wordfence プラグイン

Wordfence プラグイン

次に、メールアドレスの登録とセキュリティアラートとWordfence ニュースのメール配信の有無、 Wordfence Security 条項とプライバシーポリシーの同意の確認をチェックするウィンドウが開くので、それぞれ入力し [Continue] をクリック。

Wordfence インストール直後の確認ウィンドウ

Wordfence インストール直後の確認ウィンドウ

次の「Enter Premium License Key」 のウィンドウでは、「No Thanks」 のリンクをクリックします。

 

(3) Google 認証システムを使って WordPress サイトとスマートフォンの紐付け

次に、ダッシュボードの WordfenceLogin Security を開きます。

Two-Factor Authentication」タブを開くと、次のように QR コード等が表示されるので、以下のようにしてください。

Wordfence Two-Factor Authentication

Wordfence Two-Factor Authentication

  1. リカバリーコードをダウンロードし、保存しておく。
  2. スマートフォン側で Google 認証システム を起動
  3. 初回起動時は、アプリケーションの概要が表示されるので、「次へ」進むか、「スキップ」します。
    • 「アカウントを追加」に画面が遷移するので、「バーコードをスキャン」をタップ。
  4. 初回起動でない場合は、+ ボタンをタップし、「バーコードをスキャン」をタップ。
  5. QRコードをスキャンすると、6桁の 認証コード が表示されるので、Wordfence のページの 「Enter the code ...」 にその数字を入力して [Activate] をクリック。
Google 認証サービス: 認証コードの表示

Google 認証サービス: 認証コードの表示

以上で、Google 認証システムとの紐付けができました。

 

ログイン が二要素認証になったか確認

それでは、一旦サイトをログアウトして、再度ログインしてみましょう。

2要素認証適用後のログイン画面

2要素認証適用後のログイン画面

見た目はあまり変わってないけれど、ユーザーIDとパスワードを入力して認証が通ると、

ワンタイムパスワードの入力

ワンタイムパスワードの入力

このように認証コードを入力する画面になるので、ここでスマートフォンの Google 認証システムアプリを開いて、表示されている6桁の認証コードを入力すると、ログインができます。この認証コードは、30秒ごとに変更されます。

 

二要素認証を解除するには?

一旦設定した二要素認証を解除するには、ダッシュボードから、

「Wordfence」 → 「Login Security」 から 「Two-Factor Authentication」 タブを開いて、「DEACTIVATE」をクリックするだけです。

 

まとめ

「二段階認証」という言葉を世に知らしめたのは、皮肉なことに、昨年、2019年7月にあった 「7pay 不正使用問題」 でした。あれ以降、慌てて「二段階認証」、いや「二要素認証」に切り替えた人は多いのではないでしょうか?

素のままの WordPress だと、ログイン画面までたどり着くことは簡単なので、こういった形で防御を固めるのも一つの手だと思います。

ただ、二要素認証とて万能ではありません。もしも、認証用のスマートフォンを紛失したりした場合には、不正に利用される恐れがあることに留意してください。

 

 


  1. ガラパゴス国家、ともいうのかな? 

  2. 全てのパスワードが、全く使いまわしをせずに複雑なパスワードを使用している場合は、かなり堅牢だと言えると思います。 

  3. iPhone 端末でもほぼ同じだと思われます。AppStore で取得してください。 


 
記事を共有する
カテゴリー: Wordpress

zaturendo

中小企業社内SE。

0件のコメント

コメントを残す

メールアドレスが公開されることはありません。