サイトやアプリにはログイン時に【ID】や【パスワード】が必要ですが、もし誰かに知られてしまったり、何度も何度もログインアタックしてくる不正ログインしようとする方がいます。
そんな時にID・パスワード以外にもう一つのアクセス認証が有る事で不正アクセスから守る事を「多要素認証」となります。
そんな認証方法が2段階認証と言われています。
二段階認証の主なシステムメカニズム
二段階認証の簡単なシステムを紹介します。
WordPressには二段階認証は実装されていません、不正アクセスから守るには二段階認証が必須となります、アクセスが少ない時には問題が少ないですが、アクセスが増えると不正アクセスのアタックまで増えてしまいます。
二段階認証はプラグインで後から追加する事が出来ますので、早い内に導入してアクセスを強化して下さい。
プラグインTwo Factorの導入
プラグインの新規追加で検索窓から「Two Factor」を入力します。
検索結果から下記画面を選択して「インストール」「有効化」をして下さい。
これでインストールは完了です。
Googleのアプリのインストールが必要になります。
Google Authenticatorのインストール
Google認証システム(Google Authenticator)」のアプリを利用して二段階のシステムを構築しています。
iOS・Androidに対応したスマートフォン・タブレット端末が必要になります。
端末にインストールしたアプリを起動します。
WordPressの二段階認証を設定する
インストールと有効化が済みましたら二段階認証を設定します。
設定は「ユーザー」→「プロフィール」で設定をします。
正常にインストールされているとプロフィール画面下に二段階認証の設定項目が現れています。
アプリとパスワード設定
先ほどインストールしたアプリを立ち上げます、アプリの下記に「+」のマークがあります。
新たに追加する為に下記画面のQRコードを読み込みます。※「QRコード」はデンソーウェーブの登録商標です
何を使って追加するか選択します。一番簡単なQRコードをスキャンがお勧めです、
「カメラマーク📸」をクリックして下記のQRコードを読み込みます。
アプリで読み込むと数字が表示されます、表示されている一時数字は数秒でランダムに変更されますので素早く入れて下さい。
二段階認証のパス受取方法を設定する
ログインのパスを受け取る方法を設定します。
- メールで受け取る
- ワンタイムパスワードで受け取る
- FIDO U2F 秘密鍵
- バックアップコード
簡単なのはメール・アプリでのワンタイムパスが簡単です。
設定は「有効」「メイン」を選択します、全てを有効にしてしまいますとセキュリティが落ちますので少な目で設定して下さい。
設定はこれで完了です。WordPressにログインする際には「ID」「パスワード」を入力してログインしようとすると二段階認証する入力画面が表示されます。
メールでしたら登録したメールにパスワード、アプリならアプリを立ち上げると表示されるパスワードを入力します。
Google Authenticatorはアプリの引継ぎなどはしません、スマホやアプリの端末が「壊れた」・「紛失」・「機種変更※旧端末が有ればるログイン出来ます」した時などにはログインできなくなります、その分安全性が保たれています。
万が一に備えてバックアップ検証コードを生成してプリントアウトして保存しておきます。
まとめ
セキュリティを強化する為に二段階認証は必要ですので、簡単に導入出来ます。
アプリは共有する端末には入れない事が重要です、パスワードが他の方も見る事が出来ます、メールも同じく共有する端末には入れない様にして下さい。
サイトのアクセスが増える前に導入しておきましょう。
コメント