この記事の目次
WordPressの管理画面ログイン|デフォルトのままになっていませんか?
もしあなたが会社のWordPressサイトの管理者または編集者なら、WordPress管理画面へのログインセキュリティには少なからず気を使っていることでしょう。
万が一にもWordPress管理画面に不正ログインされてしまったら、「会社のサイト乗っ取り」「社内秘情報の漏洩」、更に恐ろしいことに「お客様情報の侵害」により自社のお客様に大きな迷惑を掛けてしまうことになり兼ねません。
しかし、殆どのWordPress管理者はログイン画面にパスワード以外の認証を一切掛けていません。つまり下の写真のようなログイン画面そのままというわけです。
パスワードは簡単に読み取られてしまう時代です。これだけではWordPressサイトを保護することは不可能です。
弊社が調べたところ、東京都内のある地域のWeb制作会社10社のうち7社が、HP(WordPressで制作されたもの)の管理画面へのログイン認証にパスワード以外の認証セキュリティを設定していませんでした。Web制作会社であってもログインセキュリティが脆弱なまま放置しているのであれば、その会社にWeb制作を依頼した企業のサイトも全て脆弱である可能性があります。これはとても危険なことです。
そこで本日は、(5分でできる!)WordPress管理画面のログインセキュリティをYubiKeyによる二要素認証で保護する方法をご説明します。
WordPress管理画面のログインセキュリティをYubiKeyで保護
ログインセキュリティをYubikeyで保護するメリット:
・管理画面に不正ログインされるのを防げて安心
・難しい設定が要らないから、プラグインの知識があればすぐにできる
・Yubikeyの購入費用(1本7千円程度)以外は必要ない。コスパ良!!
手順①Yubikey-Pluginのインストール
プラグインの「新規追加」を選択して、検索ボックスに「yubikey」と入力しましょう。「yubikey-plugin」が候補に出て来ますのでインストールして有効化します。
プラグインに慣れている方はここからは自分でできてしまうでしょう。不慣れな方、サポートが必要な方は弊社にお問い合わせください。
→お問い合わせはこちらから。
②プラグインの設定(超シンプル)
左手のメニュバー(黒い縦帯)の「設定」にカーソルを合わせると「Yubikey」と出て来ます。これをクリックしましょう。
APIのIDとkeyを入力するところがあります。意味が分からなくても構いません。IDとキーなんだな、と思ってください。
先に「Yubico.com website」をクリックしてYubico社のサイトにジャンプします。
急に英語サイトが出てくるのでびっくりするかも知れませんが、とてもシンプルです。
先ず「Email address」のところにメールアドレス(サイトの管理に使用しているメールアドレスで構いません)を入力し、「YubiKey OTP」のところにはYubikeyを挿入して「y」の部分をタッチしてください。
その後チェックボックスにチェックを入れて(規約に関するチェックですので心配いりません)、「Get APT Key」というグリーンのボタンをクリックします。
すると、このようなページが開かれます。
さてここに「ID」と「Key」が出て来ます。これをコピーして、先程のページの「ID」と「Key」の欄に貼り付けます。
「Save Changes」をクリックして保存します。
最後にユーザー設定画面で「Use Yubikey Server」にチェックを入れ、「Key ID 1」のところでYubikeyを挿入して「y」の部分をタッチします。
保存して設定完了です。
それでは一度ログアウトして、ログイン画面に戻ってみましょう。
ログイン画面にYubikeyによる認証が設定されています。これで万が一パスワードを読み取られたとしても、あなたのYubikeyが無いとログインできない為、絶対に外部から不正ログインされることはありません。
Yubikeyはキーホルダーと一緒にしたり社員証と一緒に常に持ち運んだりして、無くさないように保管しましょう。
このように、少しの工夫でWordPressは格段に安全になります。会社のサイトを守るため、そしてお客様の情報を確実に守るために、こうした工夫を怠らないようにしましょう。