【決定版】WordPressの管理者アカウントのログインセキュリティの向上
2013/09/07
先日こんな記事を書きました。
【注意喚起】WordPressをハッキングされない為にできる事
ハッキング周りは気持ち悪いのでそろそろきちんとやっておきましょう。ということで今回のレシピ
- ホスティングしたWordPressへのログインをWordPress.com Connectに変更する
- これに伴い、管理者ユーザをWordPress.comのユーザへと変更
- 最後にWordPress.comのログインを2段階認証へと変更する
以上の3点です。
1:ホスティングしたWordPressへのログインをWordPress.com Connectに変更する
やり方はこちらを参照してください。
Jetpack for WordPress.com の新機能WordPress.com Connect を使ってログインしてみた
Jetpackのプラグインの機能に先日追加されたWordPress.com Connectというものを利用します。
これを使うことによって、
自分のサイト→WordPress.comにログイン認証→認証完了→自分のサイトにログインしている
という機能が提供されます。TwitterやFacebookIDでログインみたいな機能のWordPress版ですね。
(もちろんWordPress.comにユーザ登録が必要です。作っていない人は作りましょう)
2:これに伴い、管理者ユーザをWordPress.comのユーザへと変更
追記:WordPress.comの登録E-mailと、自サイトのログインE-mailが同一の場合は、そのユーザでログインが出来るみたいです。ということで、ややこしいことをしなければこの手順は不要。その場合、既存のログインパスワードは不要になりますので、思いっきり長いパスワードに変更しておきましょう。そのパスワードは一応Evernoteなんかにメモっておく事をおすすめします。
1をやることによって、WordPress.comのユーザー名に紐付いたユーザーが追加されます。
一度ログアウトして、再度管理者アカウントでログインしましょう。
【注意喚起】WordPressをハッキングされない為にできる事
こちらに書いたように、管理者アカウントに割り当ててあった記事を全て、WordPress.comに紐付いたアカウントへと移管し、管理者権限を与えます。
それが出来たら一度ログアウトして、再度WordPress.comを使ってログインしましょう。問題なく記事の移管などができていたら、先ほどまで使っていた管理者アカウントを削除します。
3:最後にWordPress.comのログインを2段階認証へと変更する
WordPress.comの管理画面に行きましょう。
Googleの認証システムを利用した二段階認証が提供されています。
弊社では、GoogleAppsforBusinessを利用していますが、二段階認証は既に導入済み。普段から使い慣れている機能なのですんなりとパス。
注意:二段階認証設定時に、上記画面において、バックアップコードの生成ボタンが設置されます。これは必ずやるように。何かあった時にログイン出来なくなってしまいます。絶対にやってください。バックアップコードの保存はEvernoteとかまぁ適当なストレージにおいておきましょう。もちろん印刷して財布にいれておくでもOKです。
WordPressログインセキュリティの設定はこれで完璧なはず
現状の対策としてはこんな感じが一番良い気がするのですが、いかがでしょうか?
結論:管理者権限を与えてあるユーザーは全てWordPress.com Connectで管理。セキュリティ対策として二段階認証を噛ます。