「Google Authenticator」:WordPress に Google の2段階認証システムを導入してセキュリティ対策を強化するプラグイン

WordPress のセキュリティを高める

Web サイトの改ざんやブルートフォースアタックなど、WordPress のサイトが狙われる事例は多くあります。セキュリティ対策として、できるだけのことは個人でもやっておくべきでしょう。

WordPress のプラグインにはセキュリティを強化してくれるプラグインが多くありますが、今回は「Google の2段階認証プロセス」を使って簡単にログインされないようにすることにしました。

Google の2段階認証プロセス

いろいろ調べていたら、こんなツイートを見つけました。

 

このツイートは、2013年の夏、WordPress で作ったサイトへのブルートフォースアタック(総当たり攻撃)が話題になっていた時期のもの。Google 社で検索エンジンスパム対策を統括しているマット・カッツ氏が WordPress のプラグイン「Google Authenticator」を使うことにした、という内容です。

Google 社で働く中心人物の一人が利用しているプラグインを使わない手はありません。さっそく当ブログでも、セキュリティを高めるために Google の2段階認証プロセスを導入することにしました。

2段階認証というのは、事前に登録したユーザー名とパスワードに加えて、あらたにもう1つ確認コードを入力してログインするシステムです。携帯電話やモバイル端末のアプリなど、確認コードの種類はサービスによっていろいろありますが、Google では専用アプリで簡単に利用することができます。

また、WordPress プラグインと連携させて利用することで、簡単にセキュリティ強化を実施することができるのでおすすめです。

こちらは紹介の動画。

Google の2段階認証プロセスの導入によるセキュリティ強化についての詳しい説明は、こちらのページをご覧ください。

2 段階認証プロセス – Google アカウント ヘルプ

設定手順

設定手順は以下の3ステップです。

  1. Googleアカウントの2段階認証プロセスを有効にする
  2. スマートフォンに「Google Authenticator 」アプリをインストールして設定する
  3. WordPressプラグイン「Google Authenticator 」を導入して設定する

それでは順番にやっていきましょう。

Googleアカウントの2段階認証プロセスを有効にする

Googleアカウントによる2段階認証プロセスの有効化はこちらのページから行います。

Google2段階認証プロセスのページ

Google 2 段階認証プロセス

設定方法は指示される手順に従っていけば、迷うことはないでしょう。

Google2段階認証プロセスの設定を開始ページ

はじめに、確認コードをテキストメッセージ(SMS)で受け取るか、音声通話で受け取るかを選択します。

2段階認証での電話番号の登録

するとSMSまたは電話で6桁の確認コードを教えてくれるので、それを入力。

2段階認証のコードをお知らせする電話番号の設定

次に「このパソコンを信頼できるパソコンとして登録する」にチェックを入れて「次へ」。これで次回から30日間はこのパソコンから Google アカウントへのログインに、確認コードの入力を求められなくなります。

2段階認証でこのパソコンを信頼するかどうかの確認画面

最後は「2段階認証のプロセスを有効にする」です。

2段階認証プロセスを有効にした確認画面

これで「確認」をクリックすれば完了です。

この他にも、アプリケーション固有のパスワードの生成や、予備の携帯番号を登録するなど、いろいろ出てきますが、「2段階認証プロセス」の設定はこれだけになります。

スマートフォンに「Google Authenticator」アプリをインストールして設定する

続いて、スマートフォンに以下の「Google 認証システム アプリ」をインストール。iOS 版と Android 版が用意されています。

iTunes の App Store で配信中の iPhone、iPod touch、iPad 用 Google Authenticator

Google 認証システム – Google Play の Android アプリ

アプリをインストールしたら設定をしましょう。Google アカウントとひも付けします。

基本的には QR コードをスキャンして、表示された数字を打ち込めばおしまいです。指示される手順に従っていくだけで完了するので簡単です。

わたしは iPhone ですが、Android や BlackBerry の方もいると思うので、こちらのヘルプも参考にしてください。

Google 認証システムのインストール – Google アカウント ヘルプ

WordPress プラグイン「Google Authenticator」を導入して設定する

続いて WordPress にプラグインをインストールし、有効化します。

WordPressプラグイン「Google Authenticator 」ページ

WordPress › Google Authenticator « WordPress Plugins

配布ページからでも、プラグインの「新規追加」からでも、どちらからでもインストール可能です。

Google-Authenticator-Pluginのインストール画面

有効化してから、どこで設定をするのかというと、管理画面の「ユーザー」→「あなたのプロフィール」へ行きます。先に注意しておきますが、すべての設定が終わらるまではログアウトをしないでください

 Google Authenticatorの設定画面

まず「Active」にチェックを入れて有効化します。

次に3つ目の「Description」を設定。デフォルトでは「WordPressBlog」と書かれているので、お好みで変更してください。ここで決めた名前がアプリで表示される名前になります。

終わったら「Secret」の右端にある「Show/Hide QR code」をクリック。そうすると、めっちゃ大きな QR コードが表示されます。

その QR コードを、スマートフォンにインストールした「Google 認証システム アプリ」を起動して読み込みましょう。20秒毎に発行される6桁の数字が表示されるのを確認できたら OK です(もしスキャンがうまくいかない場合には左にある英数字を使います)。

WordPress に再ログイン

では、WordPress への2段階認証プロセスが有効になっているかを見てみましょう。

いったんログアウトしてみます。すると・・・

WordPressログイン時の2段階認証プロセス画面

このように「ユーザー名」「パスワード」の下に「Google Authenticator code」という入力欄が表示されています。上2つは、いままで通りに入力してください。一番下の欄には、Google認証システム アプリで発行される6桁の数字を入力します。これで管理画面にログインすることができます。

ワンタイムパスワードによるセキュリティ強化

この6桁の数字は、いわゆるワンタイムパスワードです。一定時間だけ数字が表示され、時間がすぎればまた新しいパスワードが発行されます。

したがって、万が一、いま現在表示されているパスワードを第三者に知られたとしても、時間が経てばそのパスワードは無効になります。そのときには新たに発行されるパスワードが有効になっているからです。これでログイン時のセキュリティが強化されますね。

スマートフォンのセキュリティ対策も忘れずに

次回のログインからは、このアプリを毎回利用することになります。ということは、WordPress へのログイン時にはスマートフォンが必須になるということ。

このプラグインを設定したら、スマートフォンが紛失した時のことを考えて、スマートフォンのセキュリティ設定についても見なおしておきましょう。

関連記事

「PuSHPress」:インストールして有効化するだけで投稿記事を検索エンジンに素早くインデックスさせるプラグイン

「PuSHPress」はインストールして有効化するだけで、素早くGoogleの検索エンジンにインデックスさせるWordPressプラグインです。新しい記事を投稿したときなどに、こちらから更新情報を通知するので、検索エンジンへの反映が数分から…