Google Authenticatorを設定すると、Wordpressの2段階認証を有効にして、アカウントを不正使用から保護することができます。
今回、Androidスマートフォンでのご説明となりますが、iPhoneでもそう変わりはないと思います。
スマホにアプリをインストール
プラグインインストール
- プラグイン
- 新規追加
- 検索「Google Authenticator」
- 今すぐインストール
- ユーザー
- あなたのプロフィール
- Google Authenticator Settings
- 「Active」にチェック
- 「Select」に書かれてあるコード(シークレットキー)を控える
一番下にある「プロフィールを更新」をクリックします。
プラグインとスマホアプリを連携
1.コードで認証
「提供されたキー(コード)を入力」をクリックします。
- 「Wordpress」など分かりやすいアカウント名を入力
- キーを入力
- 「時間ベース」はそのままで問題なし
- 「追加」をクリック
アカウントを追加できました。
2.QRコードで認証
- 「Active」にチェック
- 「Show/Hide QR Code」をクリック
- QRコードが表示されます
スマホアプリの「アカウントの追加」画面で「バーコードをスキャン」をクリックするとQRコードを読み取るカメラが出てきます。
2段階認証
WordPressの管理画面を開くと、このような画面が表示されます。
スマホアプリを開くと6桁の認証コードが表示されます。
この6桁のコードを「Google Authenticator code」の欄に入力します。
このコードはワンタイムパスワードと同様のものです。右下のマークはコードの有効期限を表します。有効期限が消えるとコードは変わります。
アカウントの追加
他のサイトでも利用したい場合は、右下のアイコンをクリックします。
「バーコードをスキャン」もしくは「提供されたキーを入力」で登録します。
私はWordpress、Twitter、amaten、Google、Microsoftの認証で使っています。
スマホを紛失/故障してしまった場合
FTPソフトを使って対策します。
【FTPソフト】インストール&接続方法。FileZilla(フィルジラ)
WordPressプラグイン「google-authenticator」は、Wordpressが入っている「/wp-content/plugins」の中にあります。
この「google-authenticator」ファイルごと、ローカルのデスクトップなどに移動させるとプラグインが無効の状態となり、ログインすることが可能になります。
もしくはプラグイン名を変更しても無効の状態にすることができます。
また「Google Authenticator」を使いたい場合は、元の場所に戻したり、元の名前に戻せば復活します。
SiteGuard WP Pluginも良さそう
国産「JP-Secure」製品。ウェブサイトのサイバー攻撃を防いでくれます。ログインしようとした履歴も見れるようです。
実はWordpressはユーザー名がバレバレ
2段階認証をしていないと、ブルートフォースアタック(総当たり攻撃)でパスワードを解析されれば簡単に乗っ取られることになります。ユーザー名を隠す方法はありますが、今更な感じがしますので特に対策していません。
それよりも基本的な対策を講じた方が良いと思います。
- WordPress、プラグイン、テーマを最新のものを使う
- 長くて最強のパスワードを使用する
- 2段階認証
- サーバーのベーシック認証
- パソコンのウィルス対策
後書き
パスワードというのは地味に大切です。昔々、ごく簡単なパスワードを設定していたせいか、ヤフオクで使っていた大切なIDを乗っ取られたことがあります。ある日ログインができなくなり、Yahoo!に問い合わせをして何とか開いたら20桁ほどの複雑なパスワードに変更されていました。それ以来とても気を使うようになりました。
パスワードと2段階認証があれば、何とか安心かと
