WordPressのセキュリティ強化のために二段階認証を導入した
WordPress はここ数年でものすごく乗っ取りが多くなっています。WordPress はWeb上でユーザーネームとパスワードを入力してログインするシステムで、誰でもそれを入力してログインを試みることができます。
WordPress は何も弄っていないとそのログインするためのアドレスも同じで、ログインの制限もないし、本当に脆弱です。
私は WordPress へのログインに失敗したら一定時間ログインをできなくするプラグインを導入していましたが、ものすごい数のログイン試行数がカウントされています。ロックアウトされた数は年間数十万回くらいです。
大して有名でない私の WordPress のサイトもそれだけの不正侵入を試みられたわけです。WordPress を導入しただけの人は本当に気をつけておいた方が良いです。
ログインに使用するユーザーネームは WordPress の構造上あらかじめ分かっています。つまり侵入者はパスワードを気にするだけで良いのです。
ということで、今回 WordPress に二段階認証(二要素認証)をしないとログインできないようにするプラグインを導入しました。
Google Authenticator
二段階認証のプラグインはいくつかありますが、インストール数が多く安定していそうな Google Authenticator を導入。
このプラグインを導入すると、WordPress のユーザーの設定ページに上の項目が現れます。
ここで二段階認証の設定をします。このプラグインの二段階認証は一般に「Authenticator」と呼ばれる、短い時間でパスワードが切り替わる認証方法です。
設定はスマートフォンなどで「Google Authenticator」などの Authenticator のアプリを導入して、QRコードをスキャンするだけ。すると6桁の数字が表示されますので、それをログインする時に入力します。
ログイン時に入力する項目が増えています。これで辞書攻撃でのログインがかなり難しくなります。
BOTでのログイン試行は三つ目の入力項目を設定していない可能性も高く、有効だと思います。
この二段階認証はかなり手軽に設定できるので早めに設定しておくことをお勧めします。