Google Authenticatorを設定すると、Wordpressの2段階認証を有効にして、アカウントを不正使用から保護することができます。
今回、Androidスマートフォンでのご説明となりますが、iPhoneでもそう変わりはないと思います。
スマホにアプリをインストール
プラグインGoogle Authenticatorをインストール
- プラグイン
- 新規追加
- 検索「Google Authenticator」
- 今すぐインストール
- ユーザー
- あなたのプロフィール
- Google Authenticator Settings
- 「Active」にチェック
- 「Select」に書かれてあるコード(シークレットキー)を控える
一番下にある「プロフィールを更新」をクリックします。
プラグインとスマホアプリを連携させます
コードで認証
「提供されたキー(コード)を入力」をクリックします。
- アカウント名は「Wordpress」など分かりやすいアカウントを入力
- キーを入力
- 「時間ベース」はそのままで問題なし
- 「追加」をクリック
アカウントを追加できました。
QRコードで認証
- 「Active」にチェック
- 「Show/Hide QR Code」をクリック
- QRコードが表示されます
スマホアプリの「アカウントの追加」画面で「バーコードをスキャン」をクリックするとQRコードを読み取るカメラが出てきます。
二段階認証
WordPressの管理画面を開くと、このような画面が表示されます。
スマホアプリを開くと6桁の認証コードが表示されます。
この6桁のコードを「Google Authenticator code」の欄に入力します。
このコードはワンタイムパスワードと同様のものです。右下のマークはコードの有効期限を表します。有効期限が消えるとコードは変わります。
WordPressのログイン時に「ログイン状態を保存する」にチェックを入れておけば認証コードを入力する手間を省くことができます。
アカウントの追加もできます
他のサイトでも利用したい場合は、右下のアイコンをクリックします。
「バーコードをスキャン」もしくは「提供されたキーを入力」で登録します。
私はWordpressとamatenで使っています。
スマホを紛失・故障してしまった場合
このままではログインできませんので、FTPソフトを使って対策します。
【FTPソフト】インストール&接続方法。FileZilla(フィルジラ)
WordPressプラグイン「google-authenticator」は、Wordpressが入っている「/wp-content/plugins」の中にあります。
この「google-authenticator」ファイルごと、ローカルのデスクトップなどに移動させるとプラグインが無効の状態となり、ログインすることが可能になります。
もしくはプラグイン名を変更しても無効の状態にすることができます。
また「Google Authenticator」を使いたい場合は、元の場所に戻したり、元の名前に戻せば復活します。
プラグイン「Crazy Bone(狂骨)とは相性が悪い
WordPressのログイン履歴を保存してくれるプラグインです。
ブルートフォースアタックの履歴を見てみたかったのですが、同時に使えないので諦めます。
プラグインSiteGuard WP Pluginも良さそう
国産「JP-Secure」製品。ウェブサイトのサイバー攻撃を防いでくれます。ログインしようとした履歴も見れるようです。
実はWordpressはユーザー名がバレバレ
二段階認証をしていないと、ブルートフォースアタック(総当たり攻撃)でパスワードを解析されれば簡単に乗っ取られることになります。ユーザー名を隠す方法はありますが、今更な感じがしますので特に対策していません。
それよりも基本的な対策を講じた方が良いと思います。
- WordPress、プラグイン、テーマを最新のものを使う
- 長くて最強のパスワードを使用する
- 二段階認証
- サーバーのベーシック認証
- パソコンのウィルス対策
パスワードというのは地味に大切です。昔々、ごく簡単なパスワードを設定していたせいか、ヤフオクで使っていた大切なIDを乗っ取られたことがあります。ある日ログインができなくなり、Yahoo!に問い合わせをして何とか開いたら20桁ほどの複雑なパスワードに変更されていました。それ以来とても気を使うようになりました。
後書き
もしかしたらGoogle Authenticatorより、SiteGuard WP Pluginの方が良いかも・・・ぜひ試してみたいです。
