プラグインGoogle AuthenticatorでWordPressのセキュリティを強化【二段階認証】



Google セーフブラウジングを見ると、ハッキングにより不正使用されているサイトが実に多いことが良く分かります。

実は WordPress は対策を行っていないとユーザー名がバレバレ。

https://ドメイン/?author=1

よって、ブルートフォースアタック(総当たり攻撃)でパスワードを解析されるとサイトを簡単に乗っ取られることになります

スマホアプリの「Google Authenticator」を使って WordPress の二段階認証を有効にすることにより、サイトを不正使用から保護することができます。

スマホにアプリをインストール

WordPressにGoogle Authenticatorをインストール

WordPress ダッシュボード→プラグイン→「新規追加」をクリック。

キーワード欄に「Google Authenticator」と入力して検索したら、「今すぐインストール」をクリックして「有効化」します。

Google Authenticatorの設定方法

WordPress ダッシュボード→ユーザー→「プロフィール」を開きます。

Google Authenticator Settings の設定画面は少し下の方にあります。
「Active」にチェックに入れたら「Show/Hide QR Code」をクリックして QR コードを表示させます。

スマホのカメラ機能で QR コードを読み取ると、アプリにサイトの情報が認証されます。

もしくは Google Authenticator アプリを開き、右下にある「+」をタップ→「QR をスキャン」をタップすると QR コードを読み取るカメラが出てきます。

認証されるとアプリに6桁の数字が表示されます。
右下のマークはコードの有効期限を表し、有効期限が過ぎるとコードは変わります。

WordPress の管理画面を開くと「Google Authenticator code」の入力画面が追加されているので、
その欄にアプリで表示された6桁の数字を入力しログインします。

試しに違う6桁の数字を入力してみたら、ちゃんとエラーが表示されました。

Google Authenticatorアプリが開けない場合

スマホを紛失・故障などで開けない時は FTP やファイルマネージャーから設定を行います。

【FTPソフト】FileZillaのインストール&接続方法

Google Authenticator は「/wp-content/plugins」の中にあります。
「google-authenticator」の名前を変更すると(リネーム)プラグインが無効の状態になります。

普通にログイン。

プラグインを開くと「ファイルが存在しません」と表示されています。

リネームしたプラグインを元の名前に戻し「有効化」をクリックして、再度 QR コードを認証させます。

Google Authenticatorアカウントの追加

Google Authenticator は他のサイトでも使うことができます。
右下にある「+」をタップ→「QR をスキャン」をタップ。後の手順は同じです。

当サイトでは WordPress の他に Twitter、amaten、Googleメール、Microsoft の認証で使っています。
とても便利。

他のハッキングを防ぐ方法

  • WordPress、プラグイン、テーマを最新のものを使う
  • 使っていないプラグイン、テーマは削除する
  • 長めのパスワードを使用する
  • データベースとファイルを定期的にバックアップする
  • パソコンのウィルス対策

WordPressユーザー名はnicenameを変更すると完璧に隠せる
ログインURLを変更して404エラーで返す
エックスサーバーでセキュリティ設定を行う
エックスサーバーの二段階認証とSMS認証でセキュリティ強化