「Googleの不正なソフトウェアとフィッシング」を見ると、ハッキングにより不正に使用されているサイトが実に多いことが良く分かります。
実はWordpressは対策を行っていないとユーザー名がバレバレ。「サイトURL/?author=1」で誰もが見ることができます。よって、二段階認証をしていないとブルートフォースアタック(総当たり攻撃)でパスワードを解析されたらサイトを簡単に乗っ取られることになります
スマホアプリの「Google Authenticator」を使ってWordPressの二段階認証を有効にすると、アカウントを不正使用から保護することができます。
スマホにアプリをインストール
プラグインインストール
WordPressダッシュボード→プラグイン→新規追加
キーワード「Google Authenticator」を検索したら「今すぐインストール」をクリック→「有効化」します。
二段階認証の設定
WordPressダッシュボード→ユーザー→あなたのプロフィール→少し下の方にある「Google Authenticator Settings」の「Active」にチェックに入れたら、1番下にある「プロフィールを更新」ボタンをクリックします。
次に、「Show/Hide QR Code」をクリックしてQRコードを表示させます。
スマホでGoogle Authenticatorアプリを開き「QRをスキャン」をクリックすると、QRコードを読み取るカメラが出てきます。そのカメラで上記で表示されたQRコードを読み取ると反映されます。
すると、6桁の数字が表示されます。右下のマークはコードの有効期限を表し、有効期限が過ぎるとコードは変わります。
WordPressの管理画面を開くと、「Google Authenticator code」の入力画面が追加されています。その欄にアプリで表示された6桁の数字を入力しログインします。
試しに違う6桁の数字を入力してみたら、ちゃんとエラーが表示されました。
アカウントの追加
Google Authenticatorは他のサイトでも使うことができます。左下にある「+」をクリックし、「QRコードをスキャン」をクリックします。後の手順は同じです。
当サイトではWordpressの他にTwitter、amaten、Google、Microsoftの認証で使っています。
アプリが開けない場合
スマホを紛失や故障して開けない時はFTPソフトを使います。
「Google Authenticator」は、Wordpressが入っている「/wp-content/plugins」の中にあります。
この「google-authenticator」ファイルごと、ローカルのデスクトップなどに移動させるとプラグインが無効の状態となり、ログインすることが可能になります。逆に、元の場所に戻すと復活します。
他のハッキングを防ぐ方法
- WordPress、プラグイン、テーマを最新のものを使う
- 使っていないプラグイン、テーマは削除する
- 長くて最強のパスワードを使用する
- データベースとファイルを定期的にバックアップする
- パソコンのウィルス対策
◇エックスサーバーでセキュリティ設定を行う
◇エックスサーバーの二段階認証とSMS認証でセキュリティ強化
サイトの安全性を確認したい場合はセーフ ブラウジング Google 透明性レポートが便利です
