デフォルトのWordPress設定だとユーザー名とパスワードを使った認証しかないので、ブルートフォース攻撃(総当たり攻撃)に弱いです。
有名なSiteGuard WP Pluginを導入したとしても、ロボットによる不正アクセスを回避する可能性が高まるだけで、ユーザー名とパスワードだけの認証だと簡単に突破されて大事なみなさんの記事が意図されず改竄されてしまう危険性があります。
それを防ぐためにminiOrange 2 Factor Authenticationプラグインを利用し、WordPress管理画面へのログイン画面に二要素認証(MFA)を導入します。
パスキーによるWordPressのダッシュボードログインについては以下記事を参照ください。
この記事でできること
- WordPress管理画面へのログイン処理に二要素認証を追加することができる。
- 不正アクセスの確率を低減し、意図せず記事が改竄されてしまうことを防ぐことができる。
- Google Authenticatorを利用してWordPress管理画面にログインできるようになる。
二要素認証追加手順
今回はminiOrange 2 Factor AuthenticationというプラグインをWordPressに導入し、実際にWordPressの管理画面に二要素認証を導入していく手順を見ていきます。
新規プラグインの追加
左側メニューの「プラグイン」より「新規プラグインを追加」をクリックします。
プラグインの検索
右上の検索ボックスに「miniOrange 2 Factor Authentication」と入力し、miniOrange’s Authentication – WordPress Two Factor Authentication – 2FA, Two Factor, OTP SMS and Email | Passwordless loginの「今すぐインストール」をクリックします。
プラグインの有効化
先ほどインストールしたプラグインを有効化します。
miniOrange 2-factor authenticationの設定
ウィザードでminiOrange 2-factor authenticationの設定を行なっていきます。「Let’s get started!」をクリックします。
ログイン後のMFA設定の催促
「Users should setup 2FA after first login」を選択し、「Continue Setup」をクリックします。
「Users should setup 2FA after first login」は最初のログイン後にユーザーがMFA設定すること強制します。対して「Users will setup 2FA in plugin dashboard」はユーザーがログイン後にプラグインダッシュボードで設定する形になるので、「Users should setup 2FA after first login」の方がより安全です。
MFAの対象の設定
「All users」を選択し、「Continue Setup」をクリックします。
「All users」はすべてのユーザーに対してMFAの対象とします。対して「Only for specific roles」は特手のロールを持つユーザーのみをMFAの対象とします。すべてのユーザーに付与した方が安全なので「All users」を選択します。
MFA設定までの猶予期間の設定
「Users should be directly enforced for 2FA setup.」を選択し、「All Done」をクリックします。
「Users should be directly enforced for 2FA setup.」は、MFA設定することをすぐに強制します。対して「Give users a grace period to configure 2FA (Users will be enforced to setup 2FA after grace period expiry.」は猶予期間が過ぎてからMFA設定が強制されます。すぐに強制してしまった方が安全なので「Users should be directly enforced for 2FA setup.」を選択します。
miniOrange 2-factor authentication設定の完了
プラグインの設定はこれで完了です。続いて「Configure 2FA for youself」をクリックし、実際に現在ログインしているユーザーのMFAを有効にします。
認証方式の選択
認証方式を選択します。ここでは「Google/Microsoft/Authy Authenticator」を選択し、「Save & Continue」をクリックします。
他の認証方式の説明は下表になります。今回はGoogle Authenticatorを使うので他の認証方式の設定手順については割愛させていただきます。
| No. | 認証方式 | 説明 |
| 1 | Google/Microsoft/Authy Autheticator | Google Authenticatorなどの各種MFAアプリによる認証 |
| 2 | OTP Over SMS (Registration Required) | ショートメッセージによるワンタイムパスワード 電話番号の登録が必要 |
| 3 | OTP Over Email | メール経由でのワンタイムパスワード |
| 4 | Security Questions (KBA) | 知識ベースの質問 |
| 5 | OTP Over Telegram | Telegram経由でのワンタイムパスワード |
Authenticator設定
スマホアプリのGoogle/Microsoft/Authy Authenticatorを立ち上げ、以下QRコードを読み込みアプリに出力された6桁のコードを入力して、「Save & Continue」をクリックします。
MFA設定の完了
設定が完了しました。「Advance Settings」をクリックします。
MFAを使用したログイン動作確認
ログアウト
MFAを使用したログインの動作確認をするために一旦ログアウトします。右上のユーザーアイコンをクリックし、「ログアウト」リンクをクリックします。
ログイン画面
いつものようにユーザー名、パスワードを入力し「ログイン」ボタンをクリックします。
MFAコード要求画面
MFAコードの要求画面に遷移します。スマホのGoogle/Microsoft/Authy Authenticationアプリを立ち上げ、先ほど登録した設定の6桁のコードを入力し、「Validate」ボタンをクリックします。
ログイン完了
WordPressの管理画面にログインすることができました。
まとめ
WordPressの管理画面へのログインに、miniOrange 2 Factor AuthenticationプラグインをインストールすることでMFAを導入することができました。これにより総当たり攻撃などによるWordPressへの不正ログインのリスクを低減させることができると思います。
最後に
2024/01/27(土)にこのブログを立ち上げました。
目的は自身の為の技術情報の記録とITで困っている皆さんの問題を解決できればいいなと思って始めました。
このブログ自体はConoHa WINGのWordPressを使って運営されています。2024/01/27(土)時点で¥10,786/年で運営できており、月換算だと¥898/月となっており¥900を切っている安さです。
それでいて独自ドメインが付いてくるのでかなりお買い得なのでおすすめです。
勿論はてなブログなどその他多くの無料ブログサイトがありますが、アフィリエイト広告の掲載に制限があったりなど、色々と規約があり面倒臭そうです。
その点自身でWebサイトを立ち上げれば自由に広告を貼れるので、その辺りの面倒臭さから解消されます。
アフィリエイト広告で副収入を得てみたいという方は、ConoHa WINGは安いのでいかがでしょうか。
まだ私はブログで副収入0なので、がんばりまっす!
コメント