アイアムビリーバー |

夢想家でも出来たことやったこと

Google Authenticatorを使ったワードプレスの管理画面を2段階認証にする方法

1488 views

WORDPRESSを設置するディレクトリを変更して下さい。って言われ。。。えええっ? なんの意味があるのかな? まったく意味がないことを紹介。不正ログイン対策として、Google Authenticatorを利用した2段階認証の設置を解説します。

WORDPRESSのログイン画面

ログイン画面のディレクトリが判ってしまうとセキュアではない。そう言われ、Yahoo!やGoogleはどうなの? ブログサービス全般はどうなのさ? もう家の玄関が外から見えるとドロボウに入られますよ!? 的な言いがかりなのは明白でした。

設置するディレクトリを変えろと言われた

これは本当に意味ないです。

浅田真央オフィシャルウェブサイト
浅田真央さんのオフィシャルウェブサイトより
http://mao-asada.jp/

浅田真央さんのサイトはWORDPRESSを利用しています。
 
そこでアドレスの後ろに、wp-login.php と打ってみます。このままログイン画面が表示されるのかな?
 

浅田真央オフィシャルウェブサイト
このままログイン画面はでるのでしょうか?

 
おおっ! 真央ちゃんのサイトはディレクトリ変えてますね。
 

浅田真央オフィシャルウェブサイト
ブラウザより親切な対応が返ってきました。

 
ブラウザが、WORDPRESSの設置場所をアドレスバーに吐き出してしまうので、本当に意味ないですね。
 

浅田真央オフィシャルウェブサイト
ログイン画面が現れました。

 
わたしにディレクトリを変更しろと言った人は、このことを知っているのでしょうか? いてもいなくても意地が悪いですね(猛爆)
 
ついでに、姉の浅田舞さんのサイトも見てみましょう。
 

浅田舞オフィシャルウェブサイト
浅田舞オフィシャルウェブサイトより
http://mai-asada.jp/

 
このサイトもWORDPRESSでしょうか? ホームのアドレスの後ろに、wp-login.php と打ってみます。このままログイン画面が表示されるのかな?
 

浅田舞オフィシャルウェブサイト
アドレスバーに注目です。

 
どうやらみたいです。
 

浅田舞オフィシャルウェブサイト
浅田舞さんのサイトもWORDPRESSを利用していました。

 
CMSというディレクトリに設置しているようです。どこへ設置して普通に設置しただけでは、玄関は丸見えなんです。
 

玄関丸見えでもアリ?

反論する程ヒマではない。もちろんセキュアにこしたことはないです。.htaccessでディレクトリをどうのこうの。。。。BASIC認証。IP認証。すべてを誰かが、毎回やってくれるなら頼みたいですよ。
 

 

WORDPRESSを教科書通りのディレクトリに設置している

有名な企業や大学が普通に運用している。と、言ってもサーバーレベルでは、最低限のセキュリティ対策はされているはずですよね!?

  • ダッシュボード アクセス制限
  • ログイン試行回数制限
  • 大量コメント・トラックバック制限

 

その他のセキュリティ対策

プラグインで対策すると言うと、プラグインの脆弱性など揚げ足取られるんですが、もう、ああ言えばこう言うですね。
 

 

2段階認証にしてみた

トークンを利用した2段階認証を利用します。
 


トークンとは一度しか使えないパスワード(ワンタイムパスワード)を生成する機器です。
トークンを使用することで、暗証番号を盗みとられることによる不正取引を防ぐことができます。


 
トークンを生成してWORDPRESSのログイン画面で入力できればOK!

プラグインで対応します(脆弱性だろオイ)

Google Authenticator

Google AuthenticatorとはGoogleが開発した二段階認証(二要素認証)を行うトークンソフトウェアである。AuthenticatorはユーザーがGoogleのサービスにログインする時に必要な通常のIDとパスワードと共に入力しなければいけない6桁の数字コードを提供する。また、LastPassやDropboxといった他社製のアプリケーションでもコードを発行することが出来る。


 
Google AuthenticatorをWORDPRESSで利用します。
 

Google Authenticator
プラグインを検索します。

 

Google Authenticator
WORDPRESSと書かれてものを選択します。

 

Google Authenticator
有効化します。

 

Google Authenticator
プラグイン自体のセッティングです。

 
英語で書いてあるので、Google翻訳してみました。

  • Do you wish to enable the 2-factor authentication for this site?
    あなたはこのサイトの2要素認証を有効にしますか?

  • Do you want to force your users to use 2-factor authentication (admins AND you included)?
    あなたは2要素認証を使用するようにユーザーを強制したい(管理者を、あなたが含まれている)ですか?

  • You can force users to use 2-factor authentication by role. Requires «Force Use» to be enabled. If no role is checked, 2FA will be forced for ALL roles.
    あなたは役割によって2要素認証を使用するようにユーザーに強制することができます。有効にする«強制使用»が必要です。何の役割がチェックされていない場合は、2FAはすべてのロールのために強制されます。

  • Name under which this site will appear in the Google Authenticator app.
    その下で、このサイトでは、Google認証システムアプリに表示される名前。

  • If you chose to force users to use 2-factor authentication, you can specify a maximum number of times a user can login WITHOUT setting up the 2-factor authentication (leave 0 for unlimited attempts).
    あなたは、2要素認証を使用するようにユーザーを強制的に選択した場合は、ユーザーが2要素認証を設定せずにログインできる最大回数を指定することができます(無制限の試みのための0のままに)。

  • Must be in min (±). Avoid invalid one-time passwords issues. Please read the contextual help for more info.
    分(±)でなければなりません。無効なワンタイムパスワードの問題を回避。詳細はコンテキストヘルプをお読みください。

 
プラグインの設定後、他にもやることがありますが、一度、このまま置いておいて下さい。
 

スマホが必要です

Google Authenticator
アプリをダウンロードします。
わたしはiPhoneを利用していますので、App Storeからダウンロードします。

 

Google Authenticator
WORDPRESSにもどります。ユーザーからプロフィールを編集します。

 
プロフィールの下部Google Authenticatorの欄が増えます。そこで、Get QP CODE を選択しクリックします。
 

Google Authenticator
このように画面にQRコードがポップアップしますので、それをスマホで読み取ります。

 

Google Authenticator
スマホの画面です。QRコードを読み取るとURLが表示されますよね!表示されたアドレスをタップします。

 

Google Authenticator
URLをタップすると、先程スマホに入れたアプリ(Google Authenticator)が開き、トークンの追加を確認してきます。「はい」を選択します。

これで、スマホとWORDPRESSのGoogle Authenticatorが連動しました。
 

Google Authenticator
ログアウトしてから、再度ログインしてみると、Google Authenticatorの欄ができています。

 
これまでのユーザー名とパスワードの他に、Google Authenticatorで生成されたトークンの番号を入力します。

スマホからGoogle Authenticatorのアプリを起動して、その時に表示されている番号を入力します。

これでGoogle Authenticatorを利用した2段階認証ができるようになりました。
 

導入前後でどうなった?

wordfence
2段階認証導入前のwordfenceのログ画面

 
2段階認証導入前のwordfenceでlogins and logoutsです。

不正ログインを試みた海外からのアクセスがありました。ノルウェー、スペイン、スロバキア、マケドニア、フランス、メキシコ、ペルー、ブラジル、ドイツ。。。。いい加減にしろって具合です。もちろん不正ログインは成功していません(怖)

それが、2段階認証にしてから、ぱったり止まりました。とりあえず、今回の目的は達成できたようです。
 

発信しないと何も変わらない

WORDPRESSを選んだ理由は発信のハードルを低くすることです。そんな理由はどうでも良くて、「セキュアなのでしょうか?そのワードなんっちゃら」と言う方とは、どんな場面でも一生わかり合えないと感じています。

この記事が気に入ったら
いいね ! しよう

Twitter で