WordPressのセキュリティ対策-スマホを持っているなら二段階認証がお勧め
WordPressのようなCMSが、更新が容易であるというのは、ブラウザ上から更新できるからというのが大きい。更新の際は、IDとパスワードを入力して管理画面に入るわけだが、これらが他人に知られてしまうと、好き放題にサイトを改ざんされ、ウイルスを仕込むなどやられ放題となる。
まずはニックネームを必ず設定すること
現在のバージョンのWordpressの場合、IDは管理者が考えたものを任意に設定できるわけだが、デフォルトでは、このIDが記事の投稿者の名前としてサイトに表示されてしまう。これを避けるにはIDとは別に「ニックネーム」を設定すればよい。「ニックネーム」を設定すれば投稿者の名前が、そのニックネームに置き換わる。
ニックネームの設定をしたとしても、もしIDが知られ、パスワードが何らかの方法で突破されれば、どうしようもない。ブルートフォースアタック(総当たり攻撃)といって、力づくで突破する攻撃が知られていて、被害例が多数ある。 そしてこの度のロリポップの改ざん事件のようにサーバー側にも不備があると一人のユーザーが突破されただけで、他の極めて多数のユーザーまで被害をうけることが起こりうる。
さらに二段階認証(ワンタイムパスワード)を設定、これはかなり強力
これを防ぐには、推測されにくい文字列を使用することは基本として、様々な対策が考えられるが、Google二段階認証を導入するという手がある。Google二段階認証とはPCとは別にスマートフォン(か携帯電話)などが必須で、スマートフォンにいわゆるワンタイムパスワードを通知して、それを入力しない限りログインできなくするものである。
スマートフォンにGoogle認証アプリを導入すれば、スマートフォンがオフラインでも画面上に認証コード(ワンタイムパスワード)を表示させることができる。
これを行う大前提をして、まずGoogle自体の、二段階認証の設定を行う必要がある。もしGoogleアカウントを持っていない人であれば、作るところから始めることになるが、みなgoogle analyticsは導入しているだろうから、Googleアカウントはもっているであろう。
そして次に、Wordpressの方にgoogle二段階認証のプラグイン(Google Authenticator for WordPress)を導入し設定を行うのが簡単だ。具体的にはPC画面に表示されるバーコードをスマホに読み取らせて設定するのが便利だろう。
試しに、いくつかのサイトを見てみたが、この二段階認証を導入しているところはまだまだ少ない。しかし、Wordpressに対するアタック攻撃は増加している。セキュリティに気を使いすぎるということはない。Wordpressを運用しているなら、この二段階認証の導入は必須であろう。
(画像はプラグイン作者のページからお借りしました。)
