WordPressの管理ページにプラグインでGoogleのトークン認証を導入する
はじめに
管理側の認証周りが気になったのでメモ。
WordPressはオープンソースなので、悪意のある人がコードを読んである程度予測されたパスワードなんか総当たりで当てはめれば、少なからず乗っ取ることは可能でしょう。
しかも複数回ログインミスによるロック機能はなしなので、ブルートフォースアタックなんか簡単にできてしまいます。
ググるといくつかこの対策方法がありますが、簡単かつ安全な方法の Google Authenticator を使ったトークン認証を導入しました。
詳しくはWikiにあります。
プラグインインストール
- Google Authenticator
これを他のプラグインと同様にインストール > 有効化します。
トークン発行用端末にアプリインストール
トークン情報を得るためには、別端末でインストールする必要があります。
Android の場合は Google Play で Google から提供されている Google 認証システムをインストールします。
プラグイン設定
有効化したままではつかえないので、設定します。
WordPressの管理ページのユーザー > あなたのプロフィール > Google Authenticator Settings で必要情報を設定します。
- 「Active」にチェック。(認証が有効)
- 「Description」任意ですが区分名としてあった方がよいでしょう。
- 「Secret」に表示されているものを先ほどインストールしたトークン発行用端末に登録します。が、めんどうなので、「Show/Hide QR code」で表示されるQRコードで登録します。
- その他はデフォルトのままです。
Google 認証システムに登録
下記がトークン発行用端末の Google 認証システムトップ画面です。
「+」をタップし、「バーコードをスキャン」で読み取ると登録されます。
設定後のログイン画面
こんな感じです。
