WordPressのセキュリティ対策「Google Authenticator」の導入の仕方 【2段階認証】

ブログ
mohamed HassanによるPixabayからの画像

どうも、暇なのでセキュリティを気にしだしたおじさんこと暇さんです。

今回の記事のテーマは、WordPressでブログを作るにあたってほぼ絶対つけたほうがいいセキュリティ用プラグイン「Google Authenticator」についてです。

じゃあ、なぜ必要なのか。何ができるのかについてお話していきましょう。

スポンサーリンク

Google Authenticatorとは

「Google Authenticator」とは一言でいうとGoogleが提供する2段階認証のプラグインです。

2段階認証とは、

パスワードだけでなく、時間によって変わるコードも入力しないとログインできない機能です。

聞いただけでこのセキュリティの高さがわかりますよね。

すなわち、例えば悪意のある人間にパスワードを知られてしまってもコードさえ知られなければログインできないということです。

加えて、時間でコードが変わるので、俗にいう「ブルートフォースアタック」(総当たり戦)にも強いです。(コードはだいたい10秒ほどで切り替わるので普通は無理です)

では、肝心の時間変動するコードはどうやってユーザーである私たちが知るのでしょうか?

どうやってキーコードを知るのか

Googleの公式サイトを見るといろいろ方法は、いろいろあるのですが

私が最もおすすめしたいのが、アプリによるコードの取得です。

つまり、スマホでコードを取得し、パソコンでログインするという形です。(別にログインはパソコンでなくてもいいです)

この方法であれば、パスワードを知っている人間にスマホが盗まれない限り大丈夫。

それに、仮にスマホを盗まれたらパスワード変更すればいいだけですしね。

Google Authenticatorも再登録すれば安全なのではないでしょうか。

 

どちらにせよ、よっぽどの偶然と計画性がなければ起こらないので安心できますね。

では有用性についてわかったところで、設定方法に移っていきましょう!

WordPress上の操作(パソコンがおすすめ)

プラグインのインストール

まず、肝心のプラグインをインストールして有効化します。

操作するのは、下の画像の赤枠部分だけなので他は触らなくて大丈夫です。

 

  1.  まず、左のメニューの「プラグイン」→「新規追加」の順でをクリック
  2.  そしたら、右上のキーワード検索で「Google Authenticator」をここからコピペして入力(もちろん打ってもいいです)
  3.  そうすると、だいたい上記のような状態になると思います。
  4.  下の画像のプラグインの赤枠部分の「イントール」をクリック
  5.  インストールが終わったら「有効化」をクリック
  6.  これでインストールと有効化は完了です。
  7.  まだ完全に終わってないのでもうちょっと頑張ってください。

 

※下のような画像のものであるかをきちんと確認してください。

ポイントは赤い下線の、プラグイン名と作成者名です。

間違えないようにしてくださいね。

 

プロフィールできちんとアクティベーション

有効化が終わったら次はアクティベーションです。

要は、有効化しただけだとソフトが入っただけでまだ2段階認証は導入できていません。

ややこしいですが、プロフィール画面からアクティベーションをしてやっと設定が終わります。

具体的な説明は以下です。順番に赤枠をクリックしてください

  1.  まず、左のメニューの「ユーザー」→「あなたのプロフィール」の順にクリック
  2.  すると、プロフィールの設定画面になるので、画像のように「Google Authenticator」と出るところまでスクロール
  3.  そうしたら、赤枠の「Active」のチェックを入れてください。
  4.  赤枠のSecretの欄にある「Show/Hide QR code」をクリックしてQRコードが出るか確認してください。
  5.  最後に一番下までスクロールして、「プロフィールを更新」をクリック
  6.  これでひとまずパソコン側の操作は終わりですが、

絶対にブラウザを閉じないでください。ログインできなくなります。

これ本当にめんどくさいんで注意してくださいね。

まあ、もし消した場合は対応の仕方を後ろで説明するので、見てください。

 

では、あとはスマホ側。

スマホにアプリをインストール

では、スマホにコードを取得する用のアプリを落とします。

こちらも同じく、「Google Authenticator」と検索。

アンドロイドはやったことないのでわかりませんが、iOSならApp Storeで検索してください

すると、以下のような画面になると思います。

これをインストールしてください。

 

インストールが完了したら、あとはアプリとブログを繋げます。

ここで、出てくるのが先ほどのQRコードです。

 

では、アプリを起動してください

上記の赤枠のところをクリックすることでコードの表示を追加できます。

クリックすると、上のような画像になるので

「バーコードをスキャン」をクリックして、先ほどのQRコードを写してください

これで、完了です。

おつかれさまでした。

 

これで、アプリに表示されるコードを入力することでログインできます。

手動で入力する場合

手動で入力する場合は

「手動で入力」をクリック

この画面が出てきたら、「アカウント」と「キー」を入力していただければ完了です。

アカウントの入力

アカウントとありますが、別に何でも大丈夫です。

ただ、コードを見る画面の

ピンクの枠に表示する名前を決めているだけです。

シンプルに自分がどのサイトのコードなのかわかるような名前にしましょう。

キーの入力

では、キーは何を入力すればいいのかということですが

WordPressのこの画面(さっき開いたところです)

ここの水色の枠に書いてある文字列をキーに入力しましょう!

これがQRコードの代わりってことです。

 

はい、これで導入完了です。

では、ログイン方法を簡単に説明します。

ログイン画面

うまく導入できていればこのような画面になっていると思います。

ログインする場合は

アプリで取得したコードを「Google Authenticator code」の欄に入力して

そのほかの部分も入力すればログインできます。

コードは時間で変わるので、先にユーザー名とパスワードを入れてからコードの順がおすすめです。

アプリのサイトの追加や削除

追加は、赤枠の「+」をクリックして導入の仕方と同じことをすれば追加できます。

削除は赤枠の隣の「ペンのマーク」を押すことで行えます。

分類

この画像における黄緑色の枠の部分は

「Google Authenticator」を何に対して使っているかを示しています。

大まかな分類です。

ブログの場合はWordpressと表示されるようです。

特にこちら側で設定するものではなくアプリが勝手に判断してくれるそうです。

画面の説明と注意点

最後にこの画面の説明を一応しておきたいと思います。

Description

まず「Description」ですが、これは、アプリの方の

ピンクの枠のところに表示される文字列のことです。

アカウントと同じです。

わかりやすいものにしておきましょう。

※この部分どうやら日本語対応していないようなので英語でお願いします。

Create new secretの罠

まあ、ひっかる人はほとんどいないと思いますが

うまく認証できない時などは、QRコードをアプリで読み取った後に、ここをクリックして「プロフィールを更新」をクリックしてしまったことが原因だったりします

これは私の例ですが、このボタンは注意しましょう。

いたづらに押してはいけません。

押すと、新しいQRコードになるので今までのやつと変わります。

すなわち、入れなくなる!

なので押すときは、押した後のQRコードをちゃんとアプリで読み取りましょう。

もしログインできなくなったら

機種変更とかでアプリでコードを取得できなくなったり、設定をミスってログインできなくなることもあると思います。

ですが、慌てないでください。ちょっとめんどくさいですがどうにかできます。

簡潔にいうと、サーバーのファイル操作でプラグインを削除します

 

まず、サーバーのファイルの管理画面を開いてください

そしたら、独自ドメインのファイルを開いて

  • public_html
  • wp-content
  • plugins
  • google-authenticatorのファイルを全部削除

で解決です。

こうすると、2段階認証が解けるので普通にログインしてください。

そしたら、また導入してください。

これで解決です。

スマホの機種変更するときは注意!!

最近あって、ガチで焦ったので追加で注意を促したいと思います。

そう、機種変更。

実は機種変更の時、元の古いスマホがないとブログにログインできません

理由は、アプリは読み取ったQRコードのデータしか表示しないから

つまり、iphone同士のデータ移行であっても、この読み取られたデータまでは移行されないようです!!

なので、古いスマホでログインして新しいスマホに上の手順を踏んでスマホの設定をし直す必要があります。

もちろん、下取りで出しちゃった場合はサーバー側の処理で解決してください。

それで大丈夫です。

結構、やりがちな落とし穴だと思うので追記しました!

皆さんも気を付けてね!!

まとめ

はいということで、「Google Authenticator」による2段階認証の導入方法についての記事でした。

皆さんも導入してセキュリティを高めてくださいね!

 

では、お疲れ様です。

暇さんでした。

タイトルとURLをコピーしました