WordPressのセキュリティ対策
今年はWordpressのブルートフォースアタックに関する情報をよく耳にしました。主に推測されやすいユーザー名(admin等)に対して行われていたみたいですね。そう言えば古いバージョンのWordpressのデフォルトのユーザー名はadminでしたね。 というわけでWordpressにもセキュリティ対策を施してみます。
ワンタイムパスワードでセキュリティ強化
スマホの認証アプリとWordpressのプラグインで2段階認証を導入します。最近は2段階認証をGmailのログイン等で利用されている方も多いと思います。ログイン時に通常のユーザーID、パスワードの他にスマホなどの携帯端末で生成されるパスワードを入力しログインでします。万が一パスワードを突破されても携帯端末で生成されるパスワードを入力しないとログインできませんのでセキュリティ的な効果は高いといえます。ですが2段階認証を導入した場合は携帯端末の機種変更をする時には2段階認証を外しておかなければ、ログインできなくなってしまうので注意が必要です。
2段階認証の導入
携帯端末にGoogle Authenticator(iPhone)Google 認証システム(Android)をインストール
まずは携帯端末にアプリをインストールします。
iPhoneはGoogle Authenticator
AndroidにはGoogle 認証システムをそれぞれApp Store、Googleプレイより入手します。
WordPressにGoogle Authenticatorをインストール
ワードプレスにプラグインをインストールします。 ユーザー>あなたのプロフィールにGoogle Authenticator Settingsが追加されます。 Activeにチェックを入れると2段階認証が有効になります。 手順としては
- Activeにチェックを入れる
- Descriptionに携帯端末に表示される説明を記入(iPhoneでは半角スペースNGでした。)
- SecretのShow/Hide QR codeをクリックしてQRコードを表示させる
- 携帯端末でバーコードをスキャンでQRコードを識別させる
- 識別に成功するとパスコードが表示されます
以上で2段階認証が使えるようになりました。
その他にもプラグインでできるセキュリティ対策は Limit Login Attemptsでブルートフォースアタックipに対してユーザーロックを掛けるなどでしょうか? 後はやっぱりパスワードですかね〜 僕は1Paswordを使ってパスワード管理しているのでパスワードはやたら長いです。そしてこまめに変更します。Wordpressに限りませんがセキュリティー対策としては手間ですが結構有効な手段だと思っています。
- 2013年12月17日火曜日
- :Naruhiko Wakai
comments