Kinstaではセキュリティが重視されているため、 WordPressホスティングのすべてのお客様に2要素認証を提供しています 。誰かがお客様のすべてのサイトに不正アクセスできるほど悪いことはありません! この機能はMyKinstaダッシュボードで利用可能になっています。ご利用を強くお勧めします。今日は、WordPressの2要素認証(2FA)が重要である理由、2FA機能の概要と、WordPressサイト自体でも2要素認証を設定できる優れた無料のツールについて詳しく説明します。

2要素認証が重要である理由

Joomla!、Drupal、MagentoなどのトップCMSプラットフォームをご覧ください。WordPressは市場シェアの40.0%以上を有し、CMSのトップです。人気があるため、他のCMSよりもよく攻撃されています。あるプラットフォームが他のプラットフォームよりも安全であるとは言えません。攻撃の回数が多い理由は単に、サイトの数が多いためです。

もう一つの理由は、熟練していないウェブサイト所有者が多いことです。誰でも手に入れて使い始めることができるという事実のため、WordPressは素晴らしいです。一方、そのため、正しいアクセス許可でサイトをロックしたり、パッチを適用したたりしない初心者が多いです。

WordFenceは2016年に多数のWordPressサイト所有者を調査し、「知っている場合、攻撃者がどのようにアクセスしたかを説明してください。」と質問をしました。回答者の61.5%が、攻撃者がどのようにアクセスしたか知らないと答えました。

彼らはまた、攻撃者が侵入したWordPressサイトを何のために使うかを調べる別の調査も実施しました。ご覧のとおり、25%がオフラインにされるか、破損されます。WordPressのビジネスを運営していると、これは最悪です!したがって、セキュリティ対策を事後ではなく事前に実施しましょう。

攻撃者が侵入したサイトを何のために使うか

攻撃者が侵入したサイトを何のために使うか

WordPressサイトをロックする方法は多数ありますが、一つの簡単な手段はWordPressログインURLを変更することです。これで、不正アクセスの方法を探しつつあるボットやスクリプトによるWordPressサイトへのログイン試行の失敗回数がすぐに大幅に減るはずです。しかし、最も重要な対策の一つは、単純に複雑なパスワードを使用することです。

当たり前のことだと思うかもしれませんが、そこでSplashDataによる調査の最も人気のある盗まれたパスワードの2018年のリストをご覧ください。(人気のある順に並べられています。)

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

驚くべきことですね!最も人気のあるパスワードは「123456」で、その次は「password」です。そのためKinstaでは、新しいWordPressインストールを作成する際に、wp-adminログインで複雑なパスワードの使用を強制させます。(以下のワンクリックインストール手順を参照。)

安全なパスワード生成を強制する

安全なパスワード生成を強制する

セキュリティは基本から始まります。Googleには、強力なパスワードに関する推奨事項があります。その推奨事項の一つは、2要素認証を有効にすることです。

Security starts from the basics.Use two-factor authentication and strong passwords! They're there for a reason.🔒Click to Tweet

2要素認証は、ログインするにはパスワードだけでなく追加の手段も必要になる2段階のプロセスです。追加の手段はショートメッセージ(SMS)、電話、または時間ベースのワンタイムパスワード(TOTP)です。攻撃者がパスワードと携帯電話の両方を入手することは不可能であるため、ほとんどの場合、これはWordPressサイトへの総当たり攻撃を防ぐのに十分です。

WordPressの2要素認証を有効にする方法については、以下をご覧ください。

Kinstaの2要素認証機能

MyKinstaダッシュボードでは、トークンソフトウェアをベースにした2要素認証をKinstaのすべてのお客様にご利用いただけます。SMSをベースにした2要素認証と比較して、トークンソフトウェアの2要素認証は、SIMカードが交換可能な携帯電話番号に依存しないため、より安全です。また、1PasswordやLastPassなどの一般的なパスワードマネージャーで使用できるため、より便利です。
2要素認証を有効にするには、MyKinstaダッシュボードの左下にあるアバターをクリックして、「ユーザー設定」をクリックします。スクロールダウンして、「2要素認証を有効にする」ボタンをクリックします。

MyKinstaを使用して2要素認証を有効にする

MyKinstaを使用して2要素認証を有効にする

次に、トークンソフトウェアで2要素認証のQRコードをスキャンするように求められます。1PasswordやLastPassなどのパスワードマネージャーをご利用の場合は、ご利用のアプリの組み込みの2要素認証機能を使用することをお勧めします。パスワードマネージャーをご利用になっていない場合は、Google Authenticatorをお勧めします。QRコードをスキャンした上で、トークンソフトウェアに表示される6桁のコードを入力し、「確定」を押します。

MyKinstaを使用して2要素認証を設定する

MyKinstaを使用して2要素認証を設定する

2FAを有効にすると、「ユーザー管理」画面の2FA列の下に表示されます。今後、2要素認証が無効になっている場合は、すぐにメール通知が届きます。通知が届いたが2要素認証を無効にしていない方は、すぐに当社のサポートチームまでご連絡ください

2要素認証の有無をMyKinstaで確認する

2要素認証の有無をMyKinstaで確認する

次回MyKinstaにログインするときに、6桁の確認コードの入力が求められます。トークンソフトウェアを開いて2FAコードを見つけ、「6桁の確認コード」フィールドに入力して、「ログイン」を押すだけです。

2要素認証を使用してMyKinstaにログインする

2要素認証を使用してMyKinstaにログインする

2要素認証では、Kinstaアカウントがはるかに安全になりましたので、ご安心ください。

WordPressの2要素認証を有効にする

Kinstaダッシュボードのセキュリティが確保された上で、ウェブサイト自体でもWordPressの2要素認証を有効にすることができます。次の2つの選択肢のいずれかをお勧めします。

Two Factor Authentication

WordPressプラグインTwo Factor Authenticationは、人気のあるバックアッププラグインであるUpdraftPlusの作者によって開発されたものです。標準のTOTP + HOTPプロトコル(Google Authenticator、Authyなど)をサポートしています。プラグインには無料とプレミアム版があります。

WordPressプラグインTwo Factor Authentication

WordPressプラグインTwo Factor Authentication

10,000以上のアクティブなインストールがあり、評価は5つ星のうち4.5で、次の機能を備えています。

Google Authenticator

完全に無料のソリューションをお探しなら、WordPressプラグインGoogle Authenticatorが最適です。注:ただし、2つの異なるアプリを使用することになります。自分の環境に最も効果的な手段をご判断ください。1つのアプリにしたい場合は、スタータープランにアップグレードするのがよいでしょう。この例では、無料のGoogle Authenticatorを使用します。

Google Authenticatorプラグインには30万以上のアクティブなインストールがあり、評価は5つ星のうち4.5です。完全に無料で、ユーザーの人数の制限はありません。他の認証プラグインには、有料プランにアップグレードしない限り、制限があります。Google AuthenticatorプラグインはWordPressのリポジトリからもダウンロードできますが、WordPressダッシュボードのプラグインメニューの「新規追加」で検索することもできます。

インストール後に、ユーザープロファイルをクリックしてアクティブにし、新しい秘密キーを作成するか、QRコードをスキャンします。

Google Authenticatorの設定

Google Authenticatorの設定

その後、携帯電話で無料の認証システムアプリのいずれかを使用できます。

これを有効にすると、ログインする際に、通常のパスワードと、携帯電話のGoogle Authenticatorアプリからのコードが必要になります。WordPressのログインページに追加フィールドが表示されます。 このプラグインはまた、WordPressログインURLを変更するために以前に推奨したプラグインと完全に互換性があります。

google authenticator wordpress login

Google AuthenticatorのWordPressログイン

以上です!これで、KinstaアカウントでもWordPressウェブサイトでも2要素認証を使用できるようになりました。

まとめ

お客様に最もよく依頼された機能の一つであるため、2要素認証を提供できるようになったことを大変嬉しく思います。これで、WordPressウェブサイトの保護が少し簡単になりました!当社のWordPressセキュリティに関するより詳細なガイドも是非ご覧になって、不正アクセス対策をご確認ください。

WordPressの2要素認証の仕組みについてご不明な点がございましたら、以下にコメントを書いたたり、MyKinstaダッシュボードでサポートチケットを開いたりしてください。


この記事はお気に召しましたでしょうか。KinstaのマネージドWordPressホスティングサービスもご確認ください。ウェブサイトをスピードアップし、知識・経験豊富なWordPressに精通したエンジニアによるカスタマーサポートを24時間365日ご利用いただけます。Google Cloudを使用したインフラストラクチャは、オートスケーリング、パフォーマンス、およびセキュリティに特化。Kinstaの魅力はまだまだ他にもございます。当社のプランをご確認ください。