最近WordPressのログイン認証の総当り攻撃(ブルートフォースアタック)に関する記事をよく見ますね。
ブルートフォースアタック対策としてよく挙げられる2段階認証というものがあります。
ログインする際、その時だけ利用できるキーが発行されるので、それ携帯電話のアプリを通して取得して入力する方法です。
この方法ならIDとパスワードがあっていてもログインすることができませんし、本人が登録した携帯電話を持っていないとキーを入手することができません。

wordpress.comは2段階認証に対応しています。しかしインストール型のWordPressではデフォルトでは2段階認証はついていません。
それを実装するプラグインがあったので導入してみました。

米Googleで検索エンジンスパム対策を統括しているマット・カッツ氏もTwitterで「インストールしたで!」と言及。そんなプラグインです。

2段階認証とは?

上にも書きましたが、ログインの際に携帯端末から入手できるキーを使ってログインする方法です。
認証キーは8桁程度の数字で、20秒おきに変更されます。

2段階認証が有効になっていないとIDとパスの1つの組み合わせを1度ためせば有効かどうかわかりますが、2段階認証の場合、IDとパスの1つの組み合わせに対して、20秒の間で100万~1000万回のログインを試さないといけないわけです。セキュリティの高い認証方法です。

WordPressで2段階認証を使う手順

認証システムのアプリ(Android、iOS、BlackBerry)と、WordPressのプラグイン Google Authenticator が必要です。Google2段階認証を使えるようにして、WordPressにプラグインを入れて設定するという流れになります。

1. アプリをインストールをする

すでにアプリをインストールしている人は、飛ばしてもらって構いません。
このヘルプを頼りにお使いの端末にアプリをインストールしてください。

2. プラグインをインストール

まずWordPressにGoogle Authenticatorをインストール。

インストールすると、ユーザーのプロフィール設定画面に以下のSSの項目が追加されているはずです。

追加された項目
追加された項目

3. WordPressの設定

3-1. 2段階認証の有効化

Activeにチェックを入れ保存すると2段階認証が有効になります。
この段階ではまだログインしたまま。ログアウトはしないでください。

3-2. QRコードを表示させる

再度、ユーザーのプロフィール設定へ戻り、WordPressプラグインで追加された項目にある「Show/Hide QRコード」のボタンを押してください。
QRコードが表示されます。これを端末のアプリに読み込ませます。

4. 端末のアプリの設定

4-2. 端末のアプリを起動する

端末にインストールしたアプリを起動してください。(Androidアプリとして進めますが、iOS版でも大体一緒かと思われます)

アプリ起動画面
アプリの起動
すでに他のアカウントがある人は、メニューから「アカウントの追加」を選択
すでに他のアカウントがある人は、メニューから「アカウントの追加」を選択

4-3. アカウントを追加する

アカウントの追加方法を聞かれます。今回は「バーコードをスキャン」を選択

アカウントの追加
アカウントの追加

4-4. バーコードをスキャン

カメラが起動するので、3.でWordPressに表示したQRコードを読み込みます。

バーコードのスキャン
バーコードのスキャン

4-5. スキャン成功

スキャンが成功すると、ワンタイムキーが表示されます。

スキャン成功しキーが表示される
スキャン成功しキーが表示される

再ログイン

設定は以上です。ログインしなおしてみましょう。

ログイン項目に「Google Authenticator code」が追加されている
ログイン項目に「Google Authenticator code」が追加されている

ログインするときは認証システムを起動して設定したアカウントのキーを取得して「Google Authenticator code」の項目に入力することでログインすることができます。

まとめ

ログアウトするたびにキーの入力が必要になりますが、2段階認証はユーザー名を変えたりパスワードを変更する以上に有効な手立てかと思われます。

この2段階認証はもちろんGoogleアカウントにも対応しています。設定がまだの方は設定することをおすすめします。
設定の仕方はこちらのサイトが参考になります。

Googleアカウントへ2段階認証の導入

Googleアカウントへ2段階認証の導入

はてブ数

http://www.ajaxtower.jp/gmail/2step-verify/

Googleアカウントで導入された2段階認証の有効にする手順と使い方について解説します。

何か一言あれば!!

質問とかツッコミとかお気軽にコメントしてください。がんばって返します。

コメントを残す

14 件のコメント

  1. ピンバック: 今つかってるWordPressプラグインとか | アンギス

  2. ピンバック: 今すぐできるWordPressのセキュリティ対策方法11選 | WordPressテーマ「メシオプレス」ブログ

  3. ピンバック: あなたのWordPressは大丈夫?セキュリティ関連の見直しをしてみた | 世の中TickTack!

  4. ピンバック: あなたのWordPressは安全?「wp-admin/」へのアクセス制限などセキュリティ関連の見直し | Syumart

  5. ピンバック: Wordpressでオリジナルテーマを作成する時の参考URLとプラグイン | 技術部追い剥ぎペンギン

  6. ピンバック: | wordpress~おおざっぱ・初心者の備忘録

  7. ピンバック: WordPressへのサーバアタックから守る為にした2つのこと | Social Network Life

  8. ピンバック: Google2段階認証を導入する | ド素人が独学でアメブロからWordpressに移行するまでの道のり