Google Authenticator を使用した 2FA WordPress 認証
インターネット起業家にとって、Web サイトはインターネット上の自宅のようなものです。そして、その家を安全に保ちたいと思いませんか? WordPress を使用してサイトを運営している場合は、称賛に値します。あなたは素晴らしい近所に素晴らしい家を持っています。 (あなたの家は WordPress であり、近所は WordPress コミュニティです!)
今日は、二要素認証、つまり「2FA」を使用して WordPress のセキュリティを向上させる方法について説明します。前回の記事では、Sony や Esty などのクライアントを持つ有名なセキュリティ会社である Duo Security を使用して 2 要素認証をセットアップする方法について説明しました。この記事では、Google Authenticator WordPress プラグインを使用して 2 要素認証を設定する方法を学びます。
このプロセスを実行するには、Android フォン、iPhone、または BlackBerry のいずれかのスマートフォンが必要です。 Symbian や Samsung の JAVA ベースのモバイル オペレーティング システムなどの他のオペレーティング システムはサポートされていません。これは、認証ソフトウェアがスマートフォンの Google Authenticator アプリになるためです。過去に Gmail または Dropbox の 2FA 機能を使用したことがある場合は、Google Authenticator アプリをインストールする必要がありました。アプリを使用したことがない人でも心配する必要はありません。とても簡単なプロセスです!
Google認証システムのインストール
まずはWordPressにプラグインをインストールします。これを行うには、WordPress ダッシュボード > プラグイン > 新規追加
に移動します。
「Google 認証システム」を検索し、表示された最初の結果をインストールします。
プラグインをダウンロードして解凍したら、 プラグインをアクティブ化します。
WordPress での Google 認証システムの設定
Google Authenticator for WordPress プラグインには、WordPress ダッシュボード メニューに専用のメニュー エントリがなく、設定の下にサブメニュー項目もありません。前回の 2FA チュートリアルと同様に、 このプラグインはユーザーごとにアクティブ化する必要があります。個別のユーザー設定にアクセスするには、[WP ダッシュボード] > [ユーザー] > [プロフィール] に移動します。 少し下にスクロールすると、[Google 認証システムの設定] の下に設定が表示されます。
Google 認証システムの設定の説明
説明: まず、ブログの説明を追加する必要があります。この説明は、Google Authenticator アプリでサイトを認識するのに役立ちます。他の多くのアプリが Google Authenticator にリンクされている可能性があるため、常に適切な識別子 (説明) を使用することが最善です。ブログ名はそのままで十分です。チュートリアルでは識別子として ThinkingTeapot を使用しましょう。
リラックス モード: リラックス モードでは、パスワードの入力時間が 1 分から 4 分に延長されます。つまり、ログイン ページに 6 桁の認証コードを入力するのに 4 分かかるということです。この設定を有効にすることも、無効のままにすることもできます。選択はあなた次第です。
シークレット: このキーは、QR コードを使用せずに、WordPress アカウントを Google 認証システム アプリに手動で追加する場合に必要です。 Google Authenticator アプリに秘密キーを入力するには、スマートフォンで Google Authenticator アプリケーションを実行し、メニュー キー > アカウントの追加 > 提供されたキーを入力を選択します。
QR コードをスキャンして、WordPress アカウントを Google Authenticator アプリに追加することもできます。これは入力を必要としないため、推奨/最も簡単な方法です。 [QR コードの表示/非表示] ボタンをクリックします。
スマートフォンで Google Authenticator を開き、メニューで [アカウントの設定 ] というオプションを探します。それを選択すると、アカウントの追加設定ページが表示されます。
[バーコードをスキャン] をクリックし、カメラをしっかりと構えて QR コードをキャプチャします。通常、Google Authenticator がバーコードを認識するまでに 1 ~ 2 秒かかります。
その後、WordPress ブログが自動的に認識され、Google Authenticator の接続されているサービス/ウェブサイトのリストに追加されます。これで、私たちのサイトは Google Authenticator に適切にリンクされました。最後のステップは、WordPress 自体で Google Authenticator を有効にすることです。 [Google 認証システムの設定] のすぐ下にある [アクティブ] ボタンをオンにします。
アプリ パスワード: アプリ パスワードを使用すると、XML-RPC インターフェイスを使用して WordPress ブログにログインできるようになります。これは、Windows Live Writer や Microsoft Word 2013 などのサードパーティのブログ アプリを対象としています。これにより、アプリは Google Authenticator のセキュリティ チェックを回避できます。ただし、アプリ パスワードはハッカーが悪用する重大なセキュリティ上の欠陥を引き起こすため、有効にすることはお勧めできません。
設定の保存: 最後に、これらの設定をすべて保存するには、[ユーザー プロフィール] ページの下部にある [プロフィールの更新] をクリックします。これを行わないと、すべての設定が失われます。
魔法を使う
これですべてがインストールされました。この子をテストしてみましょう。
WordPress アカウントからログアウトし、再度ログイン画面にアクセスします。今回のみ、 シンプルだが非常に強力な 2 要素認証が登場します。携帯電話に表示されている Google Authenticator アプリからコードをコピーし、それぞれのフィールドに貼り付けます。このワンタイムパスワードを入力してゴマを開いてください!
どの二要素認証プラグインを選択すればよいですか?
Duo Security と Google Authenticator のどちらを選択するかは、結局のところ、保護しようとしている Web サイトということになります。セキュリティを重視する場合、2 要素認証は素晴らしいステップです。 WordPress 用の Google Authenticator がその仕事を完了します。
ただし、ゲームを強化したい場合は、Duo Security が最善の策です。特に、過去にサイトがハッキングされたことがある人、またはサイトで不正なログイン試行が頻繁に行われていることに気付いた人は、このプロトコルを使用する必要があります。
結論
Google Authenticator WordPress プラグインは、エントリー レベルの 2 要素認証プロトコルに対するシンプルで洗練されたソリューションです。 Duo Security は、電話や SMS による OTP (ワンタイム パスワード) の生成など、さらに多くの機能を提供します。もちろん一定期間を過ぎると有料になりますが、対応範囲は多岐にわたります。たとえば、電話と SMS OTP の生成では、キャリア信号を備えたあらゆる携帯電話を使用できます。
さらに、Duo Security は、携帯電話がインターネットに接続されている場合にのみ機能するリアルタイム PUSH プロトコルを使用します。ログインしようとすると、自動プッシュ通知が携帯電話に送信されます。 [承認] ボタンを押すと、WordPress サイトに自動的にログインします。
個人的には、Duo Security を使用することをお勧めします。Duo Security には、ワンタイム パスワードを取得するためのより多くの認証媒体があり、その他のオプションも多数あるためです。電子商取引が関係するサイトを運営している場合、2 要素認証を使用するとセキュリティの向上に確実に役立ちます。
続いて、お気に入りの 2 要素認証プラグインは何ですか?素晴らしいセキュリティに関するヒントはありましたか?あなたからの御一報をお待ちしています!ああ、このチュートリアルが気に入ったかどうか教えてください。皆様のご意見やご提案をお待ちしております。