【決定版】WordPressの管理者アカウントのログインセキュリティの向上

   

先日こんな記事を書きました。

【注意喚起】WordPressをハッキングされない為にできる事

ハッキング周りは気持ち悪いのでそろそろきちんとやっておきましょう。ということで今回のレシピ

  1. ホスティングしたWordPressへのログインをWordPress.com Connectに変更する
  2. これに伴い、管理者ユーザをWordPress.comのユーザへと変更
  3. 最後にWordPress.comのログインを2段階認証へと変更する

以上の3点です。

1:ホスティングしたWordPressへのログインをWordPress.com Connectに変更する

やり方はこちらを参照してください。

Jetpack for WordPress.com の新機能WordPress.com Connect を使ってログインしてみた

Jetpackのプラグインの機能に先日追加されたWordPress.com Connectというものを利用します。
これを使うことによって、

自分のサイト→WordPress.comにログイン認証→認証完了→自分のサイトにログインしている

という機能が提供されます。TwitterやFacebookIDでログインみたいな機能のWordPress版ですね。

(もちろんWordPress.comにユーザ登録が必要です。作っていない人は作りましょう)

2:これに伴い、管理者ユーザをWordPress.comのユーザへと変更

追記:WordPress.comの登録E-mailと、自サイトのログインE-mailが同一の場合は、そのユーザでログインが出来るみたいです。ということで、ややこしいことをしなければこの手順は不要。その場合、既存のログインパスワードは不要になりますので、思いっきり長いパスワードに変更しておきましょう。そのパスワードは一応Evernoteなんかにメモっておく事をおすすめします。

1をやることによって、WordPress.comのユーザー名に紐付いたユーザーが追加されます。

一度ログアウトして、再度管理者アカウントでログインしましょう。

【注意喚起】WordPressをハッキングされない為にできる事

 こちらに書いたように、管理者アカウントに割り当ててあった記事を全て、WordPress.comに紐付いたアカウントへと移管し、管理者権限を与えます。

それが出来たら一度ログアウトして、再度WordPress.comを使ってログインしましょう。問題なく記事の移管などができていたら、先ほどまで使っていた管理者アカウントを削除します。

3:最後にWordPress.comのログインを2段階認証へと変更する

WordPress.comの管理画面に行きましょう。

WordPress.com二段階認証画面

Googleの認証システムを利用した二段階認証が提供されています。

弊社では、GoogleAppsforBusinessを利用していますが、二段階認証は既に導入済み。普段から使い慣れている機能なのですんなりとパス。

注意:二段階認証設定時に、上記画面において、バックアップコードの生成ボタンが設置されます。これは必ずやるように。何かあった時にログイン出来なくなってしまいます。絶対にやってください。バックアップコードの保存はEvernoteとかまぁ適当なストレージにおいておきましょう。もちろん印刷して財布にいれておくでもOKです。

WordPressログインセキュリティの設定はこれで完璧なはず

現状の対策としてはこんな感じが一番良い気がするのですが、いかがでしょうか?

結論:管理者権限を与えてあるユーザーは全てWordPress.com Connectで管理。セキュリティ対策として二段階認証を噛ます

オススメNginx本

nginx実践入門 (WEB+DB PRESS plus) 単行本(ソフトカバー) – 2016/1/16

nginxを現場で活用するための知識を、実践的なノウハウを交えて解説した書籍です。nginxのインストール方法や基本的な設定方法からはじめ、nginxを利用した「静的コンテンツ配信サーバ」「HTTPSサーバ」「Webアプリケーションサーバ」「大規模コンテンツ配信システム」の構築方法をそれぞれ詳しく紹介しています。後半ではnginxサーバのモニタリングやログの収集、そして軽量スクリプト言語Luaでnginxを拡張する方法について解説しているので、nginxをこれから使う方はもちろん、さらに活用したい方にもお勧めです。

 - Wordpress