WordPressの管理ページにプラグインでGoogleのトークン認証を導入する

公開日:  最終更新日:2018/09/02


はじめに

管理側の認証周りが気になったのでメモ。

WordPressはオープンソースなので、悪意のある人がコードを読んである程度予測されたパスワードなんか総当たりで当てはめれば、少なからず乗っ取ることは可能でしょう。

しかも複数回ログインミスによるロック機能はなしなので、ブルートフォースアタックなんか簡単にできてしまいます。

ググるといくつかこの対策方法がありますが、簡単かつ安全な方法の Google Authenticator を使ったトークン認証を導入しました。

詳しくはWikiにあります。

Google Authenticator

プラグインインストール

  • Google Authenticator

これを他のプラグインと同様にインストール > 有効化します。


トークン発行用端末にアプリインストール

トークン情報を得るためには、別端末でインストールする必要があります。

Android の場合は Google Play で Google から提供されている Google 認証システムをインストールします。

Google 認証システム

プラグイン設定

有効化したままではつかえないので、設定します。

WordPressの管理ページのユーザー > あなたのプロフィール > Google Authenticator Settings で必要情報を設定します。

  • 「Active」にチェック。(認証が有効)
  • 「Description」任意ですが区分名としてあった方がよいでしょう。
  • 「Secret」に表示されているものを先ほどインストールしたトークン発行用端末に登録します。が、めんどうなので、「Show/Hide QR code」で表示されるQRコードで登録します。
  • その他はデフォルトのままです。

Google 認証システムに登録

下記がトークン発行用端末の Google 認証システムトップ画面です。

「+」をタップし、「バーコードをスキャン」で読み取ると登録されます。

設定後のログイン画面

こんな感じです。


参考

こちら参考にしました。ありがとうございます。

WordPressの管理ページに二段階認証(Google Authenticator)を導入する