WordPressへの不正アクセスの痕跡

いつも大変お世話になっております、そうすけ(@sosuke14jp)です。

昨日書いたAmazonのキャリングケースを紹介する記事が大反響を頂き、ブログを書き始めてから初のホッテントリ入り(はてなブックマークのホットエントリー入り)を果たしました。読んでいただいた皆様、どうもありがとうございます。

このホッテントリ入りによってアクセス数が増えて喜んでいたのですが、一夜明けてブログを書こうとしたところ、何やら悪い人が不正にログインしようとした形跡が残っており、ログイン画面がロックされておりました。怖い怖い。

どうやらそうすけがすやすや眠っている間に、ロリポおじさんは必死に悪者からこのブログを守ってくれていたようです。今回は結果的にログインされなかったようで、本当にラッキーでした。

ただ実際に自分のブログに不正ログインされていたら・・・と想像すると非常に恐ろしいですね。最悪、ブログをめちゃくちゃに壊されてしまうことだって十分考えられます。

自分のブログは自分で守らねばなりませんので、今回の事件を機に、 WordPressのログインに2段階認証を導入 することにしました。

スポンサードリンク


2段階認証って何?

聞きなれない言葉かもしれませんが、2段階認証とは「通常のパスワード+ワンタイムパスワード(短時間のみ有効なパスワード)」の2つを用いてログインの認証を行なうことを指します。通常のパスワードだけだと、ブルートフォースアタックと呼ばれる悪意のある攻撃(可能性のあるパスワードを片っ端から試す方法)によって不正ログインされてしまう可能性があります。

でも2段階認証の「ワンタイムパスワード」は指定した端末(例えば自分の手持ちの携帯電話)上でのみ発行され、かつ数分で無効になる(パスワードが別のものに変わる)ので、これを用いると不正ログインされる危険性を大幅に減らすことができるのです。

WordPressへ2段階認証を導入する手順

では早速導入の手順を書いていきます。今回はWordPressのプラグインである「Google Authenticator」とスマホの専用アプリを用います。

スマホに専用アプリをインストールする

まずは手持ちのスマホに専用アプリをインストールしましょう。Androidの場合は以下のリンクからインストールすることが可能です。

Google 認証システム Google Inc. 価格:0  平均評価:4.6(36,246 件)

iOSの場合は、app storeで「Google Authenticator」と検索すれば同じアプリを見つけることが出来ます。

WordPressにプラグインをインストールする

次にWordPressにプラグインをインストールします。WordPressの管理画面からプラグインの新規追加画面を開、「google authenticator」と検索しましょう。あとはインストール&プラグインの有効化を行えばOKです。

google authenticatorをインストール

2段階認証を設定する

続いて設定を行なっていきます。

まずはWordPressの管理画面から「ユーザー」→「あなたのプロフィール」と進んでいきます。表示された画面を下に進んでいくと「Google Authenticator Settings」という項目が出来ているはずです。

Google Authenticator Settings

まずはその中の「Active」の欄にチェックを入れて設定を保存します。保存後続けて作業しますので、ログアウトは絶対にしないでください。ここでログアウトしてしまうとログインが出来なくなってしまいます。

Activeにチェックを入れて保存

次に「Show / Hide QR code」というボタンが出来ているはずなので、そこをクリックします。

ボタンをクリック

するとスマホの専用アプリに登録をする際に必要となるQRコードが表示されます。

スマホで読み取るQRコードが出現

ここで、スマホにインストールしたアプリを起動します。

スマホでアプリを起動

このアプリを初めて使う場合はこのような画面が表示されますので、「設定を開始」をタップします。ちなみにiOSの場合も画面に大きな違いはありません(たぶん)。

設定を開始をタップ

既にこのアプリを使っている場合は右上のアイコンをタップします。

右上のアイコンをタップ

設定をタップします。ここからの手順は一緒です。

設定をタップ

アカウントの追加画面が表示されますので、「バーコードをスキャン」をタップします。

バーコードをスキャンをタップ

するとQRコードのスキャン画面が立ち上がる(事前にQRコードスキャン用のアプリをインストールしておく必要があるかも)ので、先ほどWordPressの画面で表示されたQRコードを読み取りましょう。

スマホでQRコードを読み取る

QRコードの読み取りが成功すると、認証システムの画面に「WordPress」の項目が追加されます。これで設定は完了です。WordPressにログインするときには、ここに表示されている6ケタの数字をワンタイムパスワードとして使います。

WordPressの登録完了

WordPressのログイン画面を確認してみる

ワンタイムパスワードを発行する準備が出来たので、一度WordPressをログアウトして、ログイン画面を確認してみましょう。するとログイン時に入力が必要な項目が1つ増えています。今後ログインする時は、ユーザー名とパスワードはこれまでどおり、一番下の欄にはスマホのアプリ上で表示されるワンタイムパスワードを入力すればOKです。

2段階認証を導入したWordPressのログイン画面

ブログエディターから投稿できなくなったんだけど・・・

ブログを書く際に専用のエディター(有名どころだとMacのMarsEditとか)を使っている方も多いですよね。2段階認証を導入すると、エディターから記事を投稿する際にパスワードの入力を求められるはずです。2段階認証に変更したことで、過去に設定したパスワードでは受け付けてもらえないんですね。

そんな時はWordPressの管理画面から「ユーザー」→「あなたのプロフィール」と進み、Google Authenticator Settingsの欄にある「Enabling on App password…」と書いてある欄にチェックを入れ、その下の「Create new password」をクリックします。

Create new passwordをクリック

すると横の「XXXX…」となっている場所に文字列が表示されるので、それをエディターが求めてくるパスワードの欄に入力すればOKです。こちらは1度入力すれば、基本的に2回め以降に再度入力を求められることはありません。

そうすけは思った

「毎回ログインする際にワンタイムパスワードを入力するなんて面倒だよ・・・」なんて思うかもしれません。でも冷静に考えてみてください。もし不正ログインされてしまったら、あなたの大切なブログが荒らされてしまったり、最悪完全に壊されてしまうことだって考えられます。

自分のブログは自分で守る。自分の大切なブログだからこそ、少しの面倒を感じてもより安全に使える環境にしておくことが大切ではないでしょうか。

以上、何卒よろしくお願い申し上げます。

パスワードマネージャー ミルパス
  by カエレバ