Google セーフブラウジングを見ると、ハッキングにより不正使用されているサイトが実に多いことが良く分かります。
実は WordPress は対策を行っていないとユーザー名がバレバレ。
https://ドメイン/?author=1
よって、ブルートフォースアタック(総当たり攻撃)でパスワードを解析されるとサイトを簡単に乗っ取られることになります
スマホアプリの「Google Authenticator」を使って WordPress の二段階認証を有効にすることにより、サイトを不正使用から保護することができます。
スマホにアプリをインストール
WordPressにGoogle Authenticatorをインストール
WordPress ダッシュボード→プラグイン→「新規追加」をクリック。
キーワード欄に「Google Authenticator」と入力して検索したら、「今すぐインストール」をクリックして「有効化」します。
Google Authenticatorの設定方法
WordPress ダッシュボード→ユーザー→「プロフィール」を開きます。
Google Authenticator Settings の設定画面は少し下の方にあります。
「Active」にチェックに入れたら「Show/Hide QR Code」をクリックして QR コードを表示させます。
スマホのカメラ機能で QR コードを読み取ると、アプリにサイトの情報が認証されます。
認証されるとアプリに6桁の数字が表示されます。
右下のマークはコードの有効期限を表し、有効期限が過ぎるとコードは変わります。
WordPress の管理画面を開くと「Google Authenticator code」の入力画面が追加されているので、
その欄にアプリで表示された6桁の数字を入力しログインします。
試しに違う6桁の数字を入力してみたら、ちゃんとエラーが表示されました。
Google Authenticatorアプリが開けない場合
スマホを紛失・故障などで開けない時は FTP やファイルマネージャーから設定を行います。
Google Authenticator は「/wp-content/plugins」の中にあります。
「google-authenticator」の名前を変更すると(リネーム)プラグインが無効の状態になります。
普通にログイン。
プラグインを開くと「ファイルが存在しません」と表示されています。
リネームしたプラグインを元の名前に戻し「有効化」をクリックして、再度 QR コードを認証させます。
Google Authenticatorアカウントの追加
Google Authenticator は他のサイトでも使うことができます。
右下にある「+」をタップ→「QR をスキャン」をタップ。後の手順は同じです。
当サイトでは WordPress の他に Twitter、amaten、Googleメール、Microsoft の認証で使っています。
とても便利。
他のハッキングを防ぐ方法
- WordPress、プラグイン、テーマを最新のものを使う
- 使っていないプラグイン、テーマは削除する
- 長めのパスワードを使用する
- データベースとファイルを定期的にバックアップする
- パソコンのウィルス対策
WordPressユーザー名はnicenameを変更すると完璧に隠せる
ログインURLを変更して404エラーで返す
エックスサーバーでセキュリティ設定を行う
エックスサーバーの二段階認証とSMS認証でセキュリティ強化
