WordPressの二段階認証なら「Two Factor Authentication」がオススメ

   

先日、Wordpressの管理画面のURLを /wp-admin/ のまま運用している事にツッコミを受けまして。

basic認証入れるなりして隠さないと危ないですよと助言を頂きました。裏側にセキュリティ系のプラグインは入れてあるのですが、色々とやって時間をかければ突破出来ないことも無いかもしれないなと思った事もあり、二段階認証を導入しようと。

二段階認証というのは、Google等のログインにも使われている技術で、ID&パスでログイン後、モバイル端末に入っているアプリを開き、そこに現れる時限制のPINコードを入力してログインするという仕組みです。(PINコードの発行方法はこの他に、送られてくるメールをキャッチするという方法もあるのですが、海外にいると受け取れなかったりもするので僕としてはアプリ推奨)

管理者アカウントは全て二段階認証に変更する事で、管理者としての不正アクセスはかなり限定出来ます。(もちろん、モバイル端末が盗まれて、同時にPCも盗まれて、ログインパスが特定されて、二段階認証のPINコードを入れられれば突破出来てしまうのですが、確率としては稀でしょう。)

それで、二段階認証のプラグインを探していたのですが、色々とあるものの、調度良いプラグインは「Two Factor Authentication」でしたという報告です。

Two Factor Authentication

僕の要件は

  1. マルチサイトで使えること
  2. 会員登録サイトにおいてはユーザも使うことが出来る事

の2つでした。マルチサイト未対応のプラグインがあったり、マルチサイト化するには有料だったりというプラグインがあるのですが、これは大丈夫です。

二つ目の登録ユーザも使うことが出来るという機能

これ、本当は実装したいのですが、今のところ使っていません。将来的にとは思っています。

Theme my loginを使っているサイトであれば、このプラグインで、登録ユーザが二段階認証を使うことが可能です。

設定画面はショートコードを貼り付ければ良いだけなので手軽。(日本語訳が全然されていないので自分で日本語ファイルを別途作る必要はあります)

他のフロントユーザー系の会員サイトでも使えるようになったら嬉しいのだけど、その辺は自分で拡張するしかないかもしれませんね。

Two Factor Authentication」の不具合について

少し惜しいのが、マルチサイトでサブドメイン運用をしている場合。

例えば、

http://cui.tokyo と http://news.cui.tokyo を運用していたとして、http://news.cui.tokyo/wp-admin/ からログインしようとすると失敗します。ログイン後にうまく遷移してくれない。

こういう場合は http://cui.tokyo/wp-admin/ からログインしておけば、他のサブドメインは全てログイン状態になるので、サブドメイン無しのサイトからログインするようにしましょう。

以上です!

オススメNginx本

nginx実践入門 (WEB+DB PRESS plus) 単行本(ソフトカバー) – 2016/1/16

nginxを現場で活用するための知識を、実践的なノウハウを交えて解説した書籍です。nginxのインストール方法や基本的な設定方法からはじめ、nginxを利用した「静的コンテンツ配信サーバ」「HTTPSサーバ」「Webアプリケーションサーバ」「大規模コンテンツ配信システム」の構築方法をそれぞれ詳しく紹介しています。後半ではnginxサーバのモニタリングやログの収集、そして軽量スクリプト言語Luaでnginxを拡張する方法について解説しているので、nginxをこれから使う方はもちろん、さらに活用したい方にもお勧めです。

 - Wordpress