自分のウェブサイトのセキュリティについて考えたことはある?
すでに不正ログインに使える情報が5割以上も漏れていて、あなたのWordPressは乗っ取られる寸前かもしれない…。
難しい話はあとにしよう。
凝り性な私はGoogle先生に長時間粘着して、セキュリティを劇的に向上させる特効薬に辿り着いた。
さっそく説明していくよ。
「miniOrange」で解決!
特効薬の名はminiOrange。
二段階認証という仕組みを取り入れるためのWordPressプラグインだよ。
二段階認証とは要するにログインに必要なカギを一つ増やす仕組みのこと。
miniOrangeが新たなカギとして利用するのは、あなたが持っているAndroidやiPhoneだ。
普通のパスワードに加えてスマホ認証まで必要なログイン画面を突破するのはほぼ不可能。
二段階認証は手軽かつ強力なセキュリティとして注目され、広まりつつあるよ。
miniOrangeを使ってみよう
miniOrangeはWordPressのプラグイン検索で見つけられる。
インストールして有効化しよう。
再読み込みすると左のメニューに「miniOrange 2-Factor」が追加される。
ここを押して設定を行おう。
説明文がすべて英語だけど読めなくても問題はない。
メールアドレスとパスワードを入力しよう。
これはminiOrangeに登録する情報だから、WordPressとは違うものを使ったほうがいいよ。
特にパスワードの使い回しは厳禁。
次にスマホアプリの準備を行う。
Google LLCから配布されている下記のアプリを任意の端末にインストールしよう。
・Android…「Google 認証システム」
・iPhone…「Google Authenticator」
上記の認証アプリを開いてQRコードの読み取りまで進めよう。
パソコン等で開いているminiOrangeのQRコードをスマホカメラで捉えれば連携が完了するよ。
これからはWordPressにログインする際に「スマホの認証アプリで6桁のコードを確かめてWordPressに打ち込む」という操作が必要になる。
不正ログイン目的であなたのサイトに立ち寄った攻撃者は、この厳重なセキュリティに気付いた瞬間つまらなさそうに去っていくだろうね。
(QRコードでの認証ができない人は連携用コードをメールで送ってもらう必要がある。しかしメールの送信を要請するボタンが2019年7月時点では見当たらなかったので私は試していない)
miniOrangeの画面の右のほうには認証テスト欄がある。
認証アプリに表示されている6桁のコードをここに入力し、認証が成功するか試してみよう。
参考サイト
”やりすぎセキュリティ”より
【SSS】WordPressの2段階認証プラグインはminiOrangeが優勝
https://excesssecurity.com/miniorange-google-authenticator/
・スマホ操作不能で自分がログインできなくなった際の対処法も書いてある。
”やりすぎセキュリティ”より
【S】将来を考えたおすすめ2段階認証アプリ2選
https://excesssecurity.com/2-step-verification-app-selection/
・Google 認証システム(Google Authenticator)よりも使い勝手の良いアプリを紹介している。
”Adminweb”より
Google Authenticatorプラグインの使い方
https://www.adminweb.jp/wordpress-plugin/security/index17.html
他の手段について
ここから先は興味がある人だけ読んでいってね。
そもそもWordPressのセキュリティがどう悪いのかという話をするよ。
誰でもログイン画面を開ける
あなたのサイトのドメインの後ろに/wp-login.phpを付け足してウェブブラウザで開いてみよう。
ログイン画面が開くね。
ログイン画面のURLを打ち込んだんだから当たり前だ。
他にも/wp-adminなどと付けたときもログイン画面に辿り着く。
じゃあ他人のドメインで同じことをしたら?
他人があなたのドメインで同じことをしたら?
そう、初期設定のWordPressだと部外者でも簡単にログイン画面を開くことができてしまうんだ。
(ログイン画面に飛ばないサイトは管理者が対策をしているか、もしくはWordPressじゃない)
念押ししておくけど他人のログイン画面でパスワードを破ろうとするのは犯罪だよ。
出来心だったとか言っても許されないよ。
解決策
この問題はログイン画面のURLをカスタマイズすることで解消できる。
カスタマイズはプラグインで行うのが手軽だけど、.htaccessまたはfunction.phpを書き換えることでも対応可能。
”おっさんTECH”より
セキュリティUP!WordPress管理画面ログインURLをカスタマイズすべし!
https://ossan-tech.work/wordpress-change-url/
・プラグインを使う方法と.htaccessを使う方法を解説している。
誰でもログインIDを覗き見できる
WordPressのページにはWordPressアカウントのユーザーネームが埋め込まれていることがある。
そしてこのユーザーネームはログインIDそのものなんだよね。
自分のページを開いて「ページのソースを表示」とかやって文字検索してみるとログインIDと一致する部分がちらほら見つかると思う。
コメントを付けたところに出現したりもするらしい。
解決策
消す方法はネットで調べれば出てくるけど、紹介はしない。
私自身、すべて対応しようとは思わない。
どうしてかというとWordPressの開発側からログインIDを隠す意思が感じられないから。
私が頑張って隠しても、どうせ知らないところで晒されるだろうと思ってしまう。
ID隠しを諦める代わりに別の方法でセキュリティを強化していればいいと思うよ。