SEブログ

【WordPress】2要素認証を無料で設定する方法(Value-Auth)

 

皆さんこんにちは!SE ブログの相馬です。

 

 

今回は、WordPress に 2 要素認証を設定してみました。これにより、WordPress ログイン時のセキュリティを向上する事ができます。

 

 

 

スポンサーリンク

WordPress は世界一のウェブサイト数を誇る

 

 

WordPress は個人、企業問わず利用ユーザが世界中に非常に多い状況にあります。

 

  • 13 億の WordPress のウェブサイトがあり、およそ世界中の 35 % を占めている。
  • CMS 市場では 63 % と 1 人勝ち状態となっている。
  • ブログだけではなく、企業のコーポレートサイトや e-Commerce など様々な用途で使われている。
  • 実は、英語版以外のダウンロードが英語版より上回っている。
  • WordPress.org は 5 万個のプラグインと 3,500 個の GPL ライセンスのテーマを提供している。

 

 

このように、世界中で膨大な量のWordPress がありますので、様々な要因で攻撃の対象になってしまうのです。

 

 

 

スポンサーリンク

膨大な攻撃の数

 

 

セキュリティー企業の米デファイアント は WordPress を狙ったサイバー攻撃が 1 日で 5000 万件以上の攻撃を観測したといいます。

 

 

したがって、このような膨大な攻撃から守る為に、WordPress は頻繁にアップデートをしております。勿論プラグインもありますので、WordPress 本体に限ったことではありません。

 

 

これは、WordPress を運用されている方ならご存じかと思います。

 

 

 

二要素認証が必要な理由

 

 

このように攻撃が多い中で、不正ログインも多く、特権アカウント (管理者) でログインできてしまえば、ウェブサイトが全て乗っ取られたも当然で、ブログやウェブサイト毎削除もできますし、改ざんも容易にできてしまうわけです。

 

 

当然、世の中に完璧なセキュリティなどありませんが、初回のユーザーとパスワードのみの認証だけではなく、もう1つの認証を使った二要素認証は必要と考えます。

 

 

また、個人のブログや企業のサイトで競合他社 (他者) による攻撃も昨今は表沙汰にはなっていないかもしれませんがあると思います。これは非常に危険なパターンです。

 

 

というのは、完全な標的型攻撃といって、無差別ではなく、既に探りを入れられている状態で「完全に狙い撃ちで攻撃されている」為です。

 

 

一旦攻撃が成功されてしまうと、甚大な損害となるでしょう。今までの努力が水の泡にならないよう、くれぐれも気を付けましょう。

 

 

 

スポンサーリンク

Value-Auth の紹介

 

 

それでは、WordPress で二要素認証を使う場合、なんか設定が難しそうというイメージが湧くのではないかと思います。

 

 

確かに WordPress に二要素認証を設定する場合、様々な方法がありますが、ここでは簡単に設定でき、且つ無料で使える初心者でも導入可能である、最近登場した GMO が提供する Value-Auth というサービスを紹介します。

 

 

 

GMO は、WebサイトやECサイト、アプリなどの運営を行う「バリュードメイン」に対してログインや会員登録のセキュリティ強化についてかねてから要望があり、より多くのお客様の安全なサービス運営・構築をサポートするべく、本人認証サービス「Value-Auth」を提供したそうです。

 

 

簡単に設定でき、且つ無料から使えるサービスとなっており、初心者でも導入可能です。

 

 

 

 

スポンサーリンク

設定方法

 

 

Value-Domain をお使いの方は不要になりますが、お使いの方でない場合は以下の手順で、まず Value-Domain のアカウントを作成する必要があります。

 

 

 

GMO のアカウント登録

 

 

1. 以下の画像をクリックします。



2. 「無料で始める」をクリックします。

 

 

 

3. アカウントを作成します。amazon Pay でも可能です。私は amazon Pay で作成しました。

 

 

 

4. 登録完了すると以下の画面が表示されます。

 

 

 

 

スポンサーリンク

Value-Auth のアカウントを作成

 

 

1. アカウントを作成したらログインします。

 

 

 

2. Value-Domain のコントロールパネルの画面です。左メニューにある「セキュリティ」をクリックします。

 

 

 

3. 「セキュリティ」の「Vlue-Auth」にある、「アカウントの作成」をクリックします。

 

 

 

4. Value-Auth に使う、アカウント名とメールアドレスを入力し許諾にチェックを入れて「アカウントを登録する」をクリックします。

 

 

 

 

スポンサーリンク

Value-Auth を登録する

 

 

1. Value-Domain のコントロールパネルの画面の左メニューにある「セキュリティ」→「本人認証サービス」をクリックします。「ログイン」をクリックし、ログインします。パスワードはメールで送られてきますのでそれを確認します。

 

 

 

 

2. 以下の画像にある「Value-Auth を使用するサイトを登録してください」の赤枠にある箇所をクリックします。

 

 

 

3. 以下の順序でサイトを登録します。

 

 

 

4. API 認証キーを作成します。以下のリンクをクリックします。

 

https://www.value-domain.com/value-auth/userguide/wp_plugin.php

 

 

 

5. 以下の手順で API キーを作成します。

 

 

 

 

WordPress プラグイン登録と設定をする

 

 

1. 2 段階認証用のプラグインをインストールします。以下のサイトからダウンロードできます。

 

https://www.value-domain.com/value-auth/flow/#cms

 

 

 

2. ダウンロードした zip ファイルを WordPress から読み込んでインストールします。その後に API キーと認証コードを入力します、

 

 

 

3. 以下のように二段階認証目のトークンが送信されるメールアドレスかまたは SMS が送信される携帯電話番号を入力します。これで設定完了です。お疲れ様です。

 

 

 

 

動作確認

 

 

WordPress の通常の認証後に、以下の画面「2段階認証コードを入力」が表示され、同時にメールアドレスまたは SMS が送られてきていることを確認し、認証ができる事を確認します。

 

 

 

 

まとめ

 

 

いかがでしょうか。2 段階認証を設定する事で、各段に WordPress のセキュリティが強化されました。

 

 

これで、最悪パスワードが破られても、2 段階認証目のトークンは設定したメールアドレスまたは電話番号にしか送信されませんので、それが分からない限りログインできません。

 

 

最初のログインの認証制御については、無料で別のプラグインがありますので、こちらをご覧ください。

 

【WordPress】ログイン制限をする

 

 

以上、最後までお読みいただきありがとうございました。