セキュリティ対策にやり過ぎという事は無い。WordPressもAuthyで二段階認証を実装してみよう!

PAK85_hanbirakinorokka-

ログを見た。驚いた(;´Д`)

エラーログを何気なく見ていたら、ログイン画面でのエラーがわんさか。

どうやらブルートフォースアタック(IDとPASSの総当たり)の様です。

.こんなブログの管理画面入ったって何も楽しい事なんて無いのに・・・。

・・・そういえば対策の様な対策は何も講じてなかったな・・・反省。

さて、何から始めたものやら。

対策を模索

IDの変更

色々な所で言われていますが、「admin」「root」「webmaster」等のIDは変更した方が良いですね。

あと自分のハンドルネームも公にしている場合は避けた方が良いでしょう。

アクセス制限

自分のIPが固定だったらそのIPでしか入れないようにしてしまう対策。

これは誰もが固定IPでは無いし、さらに言うととっさの時に何も出来なくなる可能性もありますね。

あとは管理画面の場所をBasic認証かけておく方法もあります。

※今回はアクセス制限に関しては行わないことにします。

二段階認証

ワンタイムパスワードを発行して二重の認証を行います。

以前記事にしたAuthyを使って行いたいと思います。

Authyで二段階認証にしてみる

さて、とりあえずは何から始めればいいのかさっぱりなので公式のWordpressに関するページを見てみましょう。

何か間違いを見つけたときは教えて下さい。

screenshot_24

親切にもビデオ解説までありますよ。

さて、これを見る限りだと必要になるのは次の通り。

  • WordPress用のプラグイン
  • APIキー
  • スマートフォン

ここでまずAPIキーってなんですか?って事になるのです。

前回の記事でLasPassを二段階認証にしたときやGIGAZINEさんのGoogleを二段階認証にしたときはそんなの無かったよ!

そう思いますよね・・・ただこれはGoogleやLastpass側がその部分を用意してるだけの事なので個人で立ち上げているWordpressにはそれ専用にサービス登録が必要なだけなんです。

無料会員登録

気を取り直してまずはAuthyにサインアップしましょう。無料です。

screenshot_25

登録すると↓こんな画面に飛びます。どうやら確認メール送ったからメール内のURLクリックしてねって内容の様です。

screenshot_26

しばらくすると↓こんなメールが届くはずなのでURLをクリックします。

screenshot_27

URLをクリックすると・・・・このような場所にいきます。

screenshot_28

どうやらSMSでトークンを送って貰ってそれで認証するようですね。

では早速「Request the token via SMS」のテキストをクリック。

自分の携帯にSMSが届くまで少々時間かかるみたいですね、私の場合は1分位だったでしょうか。

SMSに送られてきた数字をテキストボックスに記入して「Enable my account」をクリックすれば登録完了です。

登録完了でこの画面に行きます。

screenshot_29

まだ何もアプリケーション登録されていないからここクリックして登録してね的な事が赤い吹き出しで書かれています。

しょうが無いので誘いに乗ることにしましょう。

screenshot_30

アプリケーションの名前を聞いてきました。

何でも良いんでしょうけど、とりあえず「Wordpress」にでもしておきます。

screenshot_31

おや?なんでしょうこれは。チュートリアルのようなものかな。
とりあえず「START NOW」で見ていきましょう。

screenshot_32

どうやら今登録したアプリケーションの二段階認証を行うにはユーザーを追加する必要があるみたいです。

先ほどと同じように国と携帯番号を入力しましょう。

screenshot_33

う~ん、なんか同じような作業が続くなぁ。

screenshot_34

ここでまたトークンを受け取って確認作業が入ります。

screenshot_35

これでAPIが使用出来る様になりました。

早速ダッシュボードのページに移動してみましょう。

screenshot_37

APIキー出てきてますね。

Planは今SandBoxってなっていますが、無料でStarterに出来る様です。

無料なのでそっちにしておこうと思いましたが、クレカ登録必須みたいなんで少し様子を見ます。
特にAPIキーを使用しての開発したりする訳ではないからそのままでいいかと思います。
※確認するために0.5ドル課金されるとかかいてある

WordPressプラグインの導入

APIキーが用意出来たのでWordpressにプラグインを導入します。

screenshot_38

「authy」でプラグインを検索して出てきた中の作成者がAuthy.Incになっているものをインストールして有効に。

その後、設定→AuthyにてAPIキーを入力します。

screenshot_39

赤枠で囲ったところにAPIキーを入れます。

入れた後に下の方に注意書きが出てきますね・・・どうもこのプランだとテキストメッセージ機能が使えないよ?って事らしいです。

SMSでのトークン発行を言っているのだと思いますが、今はスルーしておきます。

ユーザープロフィールでの設定

さて、この後ですがユーザーのプロフィール画面に移って二段階認証を使用するように設定します。

screenshot_40

ここでまたしても国と電話番号を入力です(笑)

さて、この設定まで完了したらもう二段階認証になっているはずです。

ということで、一度ログアウトしまして・・・。

screenshot_41

再度ログインしてみると・・・・。

screenshot_42

出ましたーーー!!二段階認証の画面!

早速スマホのアプリでトークンを確認して入力!

無事にログイン成功!ヽ(´ー`)ノ

これで二段階認証を使用してWordpressにログインする事が出来ました。

なんだかんだ言ってAPIキー取るまでが面倒ですが、そこから先は楽に終わりますね。

まとめ

やれることはやっておこうと言う事でWordpressも二段階認証にしてみました。

うん!正直めんどい!!

率直な感想ですが・・・。

でも転ばぬ先の杖と言いますか、安心感はありますね。

本当にいらなくなった場合はユーザープロフィールのチェック外せば簡単に外せますし。

このご時世ですので今後もこういった二段階認証を必要とするサービスが増えると思うのです。

そう考えると今の内にAuthy見たいなサービスになれておくのも良いかな。

WordPressでブログを書いていて不正ログインされるかも知れないという不安をお持ちの方は是非導入してみて下さい。

Authy以外にも二段階認証できる方法が色々あります。しかももっと簡単にww

【画期的!!】1分でWordPressにGoogle認証システムをいれる簡単な方法 | More Access! More Fun!

WordPress で二段階認証を可能にするプラグイン「魍魎」 | dogmap.jp

これらはAuthy導入よりももっと簡単に二段階認証を可能にしますので興味があれば是非。

え?Authyのメリット???

複数サービスの一元管理とか・・・・かな・・・。