【WordPressセキュリティ】2段階認証でハッキング・乗っ取りから守ろう!

こんにちは!「ゆたまる」です。
いろいろなアカウントの乗っ取り被害など
よく耳にしますよね(´゚д゚`)
この記事を読んでいただいている方は
ブロガーの方が多いのでは無いでしょうか?
あなたのブログのセキュリティは大丈夫ですか?
ブロガーにとってはある意味
SNSのアカウントなどよりも大事なブログですよね!
WordPressのセキュリティの惰弱性なども指摘されています。
この記事では一定時間ごとにパスワードが更新される
「ワンタイムパスワード」を生成できる
『Google認証システムアプリ』を使った
プラグイン【Google Authenticator】の
設定方法を解説します。
大事なブログを守るためにも
お手軽な2段階認証を設定しましょう!
バックアップをしてる人はよく聞くけどね~
ゆたまる
ブログのセキュリティを考えている人は少ないのでは??
コンさん
わたしのことか…
ゆたまる
・Googleの2段階認証システムを設定していない方
・WordPressのセキュリティ対策が面倒な方
もくじ
「Google Authenticatorプラグイン」のインストール
まずプラグインから
新規追加⇒で「Google Authenticator」を
インストールしてください。
似たような名前のプラグインが多数あるので
分からない場合は↓こちらからダウンロードしてください。
インストールが完了したら
【有効】にします。
WordPressのプラグインの方の準備は
これでひとまず置いときます。
ここまでは簡単だ!^_^
ゆたまる
次が複雑なんだよね〰💦
コンさん
えっ!(ToT)
ゆたまる
Googleアカウントの2段階認証プロセスの設定
※すでにGoogleアカウントで
2段階認証を設定済みの方はここは飛ばしてください。
こちらの「Googleアカウントの2段階認証プロセスの設定」
この設定がややこしいので、苦労する方もいるかもしれません💦
手順の説明が長くなってしまうので
↓こちらの記事を参考にしてください。
【Google認証システムで安全に】2段階認証システムでアカウントを守ろう!
↓Googleのアカウントヘルプを参照したい方はこちらをご覧ください。
無事に設定できたら次に進みましょう!
PCとスマホ行ったり来たりだね💦
ゆたまる
大変かもしれないけど、ちゃんと設定しよう!
コンさん
WordPressを「Google Authenticator」プラグインで2段階認証の設定
次はプラグイン「Google Authenticator」の
設定をしていきます。
①「Active」をチェック✓!
②「Description」※ブログの簡単な説明「WordPressBlog」基本で大丈夫です。

※「Description」は現在WordPressで使っているブログが
1つでしたら「WordPressBlog」で構いませんが
複数のブログを使用して、それぞれ2段階認証を設定したい場合には
それぞれのブログが分かる名称で設定してください。
①QRコードを表示させる
または②QRコードが上手く読み込めない場合はシークレットコードを入力するように
ここまでできたらスマホに移ります!

「Relax mode」と「Enable App Password」は
特に何もしなくても大丈夫です。
※一度離れたい場合は下まで進んで
「プロフィールの更新」 をクリックして保存してください。
次はアプリをインストールした端末で↑を
バーコードを読み込みORシークレットコードを入力しましょう
「バーコードをスキャン」
またはQRコードが読み込めない場合は
②シークレットコードで
「提供されたキーを入力」

⇒このように認証システムアプリにWordPress用のコードが表示されるようになります。

これで2段階認証の設定は完了です。
「Google Authenticator Settings」の画面で一番下の
「プロフィールの更新」 をクリックして保存を忘れずに!
WordPressの設定はスムーズにできるね♪
ゆたまる
Googleアカウントの2段階認証の設定がやっかいだね💦
コンさん
2段階認証を使ったWordPressへのログイン
やっと設定が終わりましたが
それでは2段階認証でWordPressへのログインをしてみましょう!
↓WordPressのログイン画面に
「ユーザー名またはメールアドレス」「パスワード」と
「Google Authenticator code」が追加されています
①設定が完了していると「Google Authenticator code」が追加されています
②スマホの認証システムアプリから6桁のコードを入力
※「ログイン状態を保存する」に✓チェックを入れておくと毎回コードを入力する手間が省かれます

※「ログイン状態を保持する」にしても毎回コードの入力が
必要な方が居たので(原因が分かりません)
自己の判断で設定をお願いいたします。
WordPressの6桁のコードを入力します

30秒ごとにパスワードが更新される
「ワンタイムパスワード」なので焦らず入力しましょう。
初めての2段階認証でのログインはドキドキする😆
ゆたまる
設定できただけでレベルアップした気分(*´∀`)
コンさん
2段階認証を無効にするやり方
2段階認証をやめたい!
端末を変えるから一度設定を外したい!
などの時に設定を無効にするやり方です。
「Google Authenticator Settings」
①「Active」の✓チェックを外す
②下までスクロールして「プロフィールを更新」

設定を無効にするのは簡単ですね!
何か問題が起きた時にはすぐに設定を無効にしましょう!
まとめ
「Googleアカウントの2段階認証プロセス」
こちらの設定もまだの方は時間がかかるかもしれませんが
「ブログを乗っ取り」されることを考えれば
苦ではないはずです。
2段階認証を設定する前の現状は
・ユーザー名またはメールアドレス
・パスワード
この2点のみ!でログインできてしまうことは
恐ろしいですよね。
この記事の「2段階認証でのログイン」を設定していれば
「ワンタイムパスワード」でのログインになるので、
事実上、新しいパスワードは本人もアプリを使わないと
分かりません。
よってセキュリティが格段に高まります。
不正に乗っ取り・ハッキングされてからでは遅いので
まだセキュリティを導入されていない方は
直ぐに検討してみてください。
最後に
このプラグインを使った「2段階認証」には
注意点があります。
下記の点を注意して導入の検討してください。
セキュリティ性能が上がる反面。
設定で紐づけした端末の「認証アプリ」でコードを読み込めないと
「ログインのパスワードが分からない」
よって設定した端末が無いとWordPressにログインできない
ということになります。
この点を注意して導入をオススメします。
↑上記の対策としてですが
・「シークレットコード」「QRコード」の設定を
端末2つで行う。(わたしはスマホとタブレット)
※設定の際に2台目も「シークレットコード」「QRコード」を
読み込めば同じように2台目の設定可能です。
・ 「ユーザー」⇒「あなたのプロフィール」⇒「Google Authenticator Settings」⇒「Show/Hide QR code」で表示される
「QRコード」を写真などで読み込めるように保存する。
※↑注意点!
「create new secret」これを押すと新しいコードに変わって
しまうので、押してしまったら新しいQRコードを保存しましょう!
・「ログイン状態を保持する」(ログイン時にコードの入力が無い)
これができているかをしっかりと確認して
端末にトラブルがあった際に2段階認証の設定を無効にする。
(万が一のことを考えるとあまりオススメできません💦)
ログインができなくなると、どうしようもないので💦
各自の判断で設定お願いいたします。