WORDPRESSを設置するディレクトリを変更して下さい。って言われ。。。えええっ? なんの意味があるのかな? まったく意味がないことを紹介。不正ログイン対策として、Google Authenticatorを利用した2段階認証の設置を解説します。2018.11.28追記しました。
WORDPRESSのログイン画面
ログイン画面のディレクトリが判ってしまうとセキュアではない。そう言われ、Yahoo!やGoogleはどうなの? ブログサービス全般はどうなのさ? もう家の玄関が外から見えるとドロボウに入られますよ!? 的な言いがかりなのは明白でした。
設置するディレクトリを変えろと言われた
これは本当に意味ないです。
http://mao-asada.jp/
浅田真央さんのサイトはWORDPRESSを利用しています。
そこでアドレスの後ろに、wp-login.php と打ってみます。このままログイン画面が表示されるのかな?
おおっ! 真央ちゃんのサイトはディレクトリ変えてますね。
ブラウザが、WORDPRESSの設置場所をアドレスバーに吐き出してしまうので、本当に意味ないですね。
わたしにディレクトリを変更しろと言った人は、このことを知っているのでしょうか? いてもいなくても意地が悪いですね(猛爆)
ついでに、姉の浅田舞さんのサイトも見てみましょう。
http://mai-asada.jp/
このサイトもWORDPRESSでしょうか? ホームのアドレスの後ろに、wp-login.php と打ってみます。このままログイン画面が表示されるのかな?
どうやらみたいです。
CMSというディレクトリに設置しているようです。どこへ設置して普通に設置しただけでは、玄関は丸見えなんです。
玄関丸見えでもアリ?
反論する程ヒマではない。もちろんセキュアにこしたことはないです。.htaccessでディレクトリをどうのこうの。。。。BASIC認証。IP認証。すべてを誰かが、毎回やってくれるなら頼みたいですよ。
WORDPRESSを教科書通りのディレクトリに設置している
有名な企業や大学が普通に運用している。と、言ってもサーバーレベルでは、最低限のセキュリティ対策はされているはずですよね!?
- ダッシュボード アクセス制限
- ログイン試行回数制限
- 大量コメント・トラックバック制限
その他のセキュリティ対策
プラグインで対策すると言うと、プラグインの脆弱性など揚げ足取られるんですが、もう、ああ言えばこう言うですね。
2段階認証にしてみた
トークンを利用した2段階認証を利用します。
トークンとは一度しか使えないパスワード(ワンタイムパスワード)を生成する機器です。
トークンを使用することで、暗証番号を盗みとられることによる不正取引を防ぐことができます。
トークンを生成してWORDPRESSのログイン画面で入力できればOK!
プラグインで対応します(脆弱性だろオイ)
Google Authenticator
Google AuthenticatorとはGoogleが開発した二段階認証(二要素認証)を行うトークンソフトウェアである。AuthenticatorはユーザーがGoogleのサービスにログインする時に必要な通常のIDとパスワードと共に入力しなければいけない6桁の数字コードを提供する。また、LastPassやDropboxといった他社製のアプリケーションでもコードを発行することが出来る。
Google AuthenticatorをWORDPRESSで利用します。
英語で書いてあるので、Google翻訳してみました。
- Do you wish to enable the 2-factor authentication for this site?
あなたはこのサイトの2要素認証を有効にしますか? - Do you want to force your users to use 2-factor authentication (admins AND you included)?
あなたは2要素認証を使用するようにユーザーを強制したい(管理者を、あなたが含まれている)ですか? - You can force users to use 2-factor authentication by role. Requires «Force Use» to be enabled. If no role is checked, 2FA will be forced for ALL roles.
あなたは役割によって2要素認証を使用するようにユーザーに強制することができます。有効にする«強制使用»が必要です。何の役割がチェックされていない場合は、2FAはすべてのロールのために強制されます。 - Name under which this site will appear in the Google Authenticator app.
その下で、このサイトでは、Google認証システムアプリに表示される名前。 - If you chose to force users to use 2-factor authentication, you can specify a maximum number of times a user can login WITHOUT setting up the 2-factor authentication (leave 0 for unlimited attempts).
あなたは、2要素認証を使用するようにユーザーを強制的に選択した場合は、ユーザーが2要素認証を設定せずにログインできる最大回数を指定することができます(無制限の試みのための0のままに)。 - Must be in min (±). Avoid invalid one-time passwords issues. Please read the contextual help for more info.
分(±)でなければなりません。無効なワンタイムパスワードの問題を回避。詳細はコンテキストヘルプをお読みください。
プラグインの設定後、他にもやることがありますが、一度、このまま置いておいて下さい。
スマホが必要です
わたしはiPhoneを利用していますので、App Storeからダウンロードします。
プロフィールの下部Google Authenticatorの欄が増えます。そこで、Get QP CODE を選択しクリックします。
これで、スマホとWORDPRESSのGoogle Authenticatorが連動しました。
これまでのユーザー名とパスワードの他に、Google Authenticatorで生成されたトークンの番号を入力します。
スマホからGoogle Authenticatorのアプリを起動して、その時に表示されている番号を入力します。
これでGoogle Authenticatorを利用した2段階認証ができるようになりました。
導入前後でどうなった?
2段階認証導入前のwordfenceでlogins and logoutsです。
不正ログインを試みた海外からのアクセスがありました。ノルウェー、スペイン、スロバキア、マケドニア、フランス、メキシコ、ペルー、ブラジル、ドイツ。。。。いい加減にしろって具合です。もちろん不正ログインは成功していません(怖)
それが、2段階認証にしてから、ぱったり止まりました。とりあえず、今回の目的は達成できたようです。
発信しないと何も変わらない
WORDPRESSを選んだ理由は発信のハードルを低くすることです。そんな理由はどうでも良くて、「セキュアなのでしょうか?そのワードなんっちゃら」と言う方とは、どんな場面でも一生わかり合えないと感じています。
2018.11.27追記 万が一、スマホが壊れてGoogle Authenticatorを利用できなくなった場合の対処
①FTPでプラグインのディレクトリーの中からGoogle Authenticatorを見つけて、一時的にリネームします。そうすることで通常のログイン画面になります。
②新しいスマホに新たにGoogle Authenticatorアプリをインストールして、ワードプレスのユーザーからGoogle AuthenticatorのQRコード読み直し登録してください。
③先程、リネームしたファイルの名前を戻します。そうすると次回のログイン時は再びGoogle Authenticatorを使ったログイン画面となります。
④スマホからGoogle Authenticatorを起動。表示された番号を入力してログインします。
これで解決です。