Kinstaではセキュリティが重視されているため、 WordPressホスティングのすべてのお客様に二要素認証を提供しています 。誰かがお客様のすべてのサイトに不正アクセスできるほど悪いことはありません! この機能はMyKinstaダッシュボードで利用可能になっています。ご利用を強くお勧めします。今日は、WordPressの二要素認証(2FA)が重要である理由、2FA機能の概要と、WordPressサイト自体でも二要素認証を設定できる優れた無料のツールについて詳しく説明します。

二要素認証が重要である理由

Joomla!、Drupal、MagentoなどのトップCMSプラットフォームをご覧ください。WordPressは市場シェアの37.6%以上を有し、CMSのトップです。人気があるため、他のCMSよりもよく攻撃されています。あるプラットフォームが他のプラットフォームよりも安全であるとは言えません。攻撃の回数が多い理由は単に、サイトの数が多いためです。

もう一つの理由は、熟練していないウェブサイト所有者が多いことです。誰でも手に入れて使い始めることができるという事実のため、WordPressは素晴らしいです。一方、そのため、正しいアクセス許可でサイトをロックしたり、パッチを適用したたりしない初心者が多いです。

WordFenceは2016年に多数のWordPressサイト所有者を調査し、「知っている場合、攻撃者がどのようにアクセスしたかを説明してください。」と質問をしました。回答者の61.5%が、攻撃者がどのようにアクセスしたか知らないと答えました。

彼らはまた、攻撃者が侵入したWordPressサイトを何のために使うかを調べる別の調査も実施しました。ご覧のとおり、25%がオフラインにされるか、破損されます。WordPressのビジネスを運営していると、これは最悪です!したがって、セキュリティ対策を事後ではなく事前に実施しましょう。

攻撃者が侵入したサイトを何のために使うか

攻撃者が侵入したサイトを何のために使うか

WordPressサイトをロックする方法は多数ありますが、一つの簡単な手段はWordPressログインURLを変更することです。これで、不正アクセスの方法を探しつつあるボットやスクリプトによるWordPressサイトへのログイン試行の失敗回数がすぐに大幅に減るはずです。しかし、最も重要な対策の一つは、単純に複雑なパスワードを使用することです。

当たり前のことだと思うかもしれませんが、そこでSplashDataによる調査の最も人気のある盗まれたパスワードの2018年のリストをご覧ください。(人気のある順に並べられています。)

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

驚くべきことですね!最も人気のあるパスワードは「123456」で、その次は「password」です。そのためKinstaでは、新しいWordPressインストールを作成する際に、wp-adminログインで複雑なパスワードの使用を強制させます。(以下のワンクリックインストール手順を参照。)

安全なパスワード生成を強制する

安全なパスワード生成を強制する

セキュリティは基本から始まります。Googleには、強力なパスワードに関する推奨事項があります。その推奨事項の一つは、二要素認証を有効にすることです。

Security starts from the basics.Use two-factor authentication and strong passwords! They're there for a reason.🔒Click to Tweet

二要素認証は、ログインするにはパスワードだけでなく追加の手段も必要になる2段階のプロセスです。追加の手段はショートメッセージ(SMS)、電話、または時間ベースのワンタイムパスワード(TOTP)です。攻撃者がパスワードと携帯電話の両方を入手することは不可能であるため、ほとんどの場合、これはWordPressサイトへの総当たり攻撃を防ぐのに十分です。

WordPressの二要素認証を有効にする方法については、以下をご覧ください。

Kinstaの二要素認証機能

二要素認証には2つの部分があります。まず、ご利用のウェブホスティング会社でのアカウントやダッシュボードがあります。誰かがこれにアクセスしてしまうと、パスワードを変更したり、ウェブサイトを削除したり、DNSレコードを変更したりするなどの恐ろしいことができます。そこで、すべてのお客様にMyKinstaダッシュボードの二要素認証機能を利用いただけるようになりました。

CloudFlare、Twitch、Coinbase、SendGridなどの大企業に安全なログイン認証ソリューションを提供してきたAuthy と提携しています。Authyには、ブラウザ拡張機能をはじめすべてのプラットフォーム用のデスクトップアプリやモバイルアプリがあります。

CloudFlareは、Authyが「TOTPを生成する美しくてシンプルでエレガントなアプリを作成した」と述べています。- Techcrunch

有効にするには、MyKinstaダッシュボードの左下にあるアバターをクリックして、「ユーザー設定」をクリックします。スクロールダウンして、「二要素認証を有効にする」ボタンをクリックします。

MyKinstaの二要素認証を有効にする

MyKinstaの二要素認証を有効にする

その後、国を選択して携帯電話番号を入力するように求められます。次に「有効にする」をクリックします。

二要素認証を構成する

二要素認証を構成する

2FAを有効にすると、「ユーザー管理」画面の2FA列の下に表示されます。今後、二要素認証が無効になっている場合は、すぐにメール通知が届きます。通知が届いたが二要素認証を無効にしていない方は、すぐに当社のサポートチームまでご連絡ください。

MyKinstaの二要素認証(2FA)

MyKinstaの二要素認証(2FA)

再度ログインするための2つのオプション

再度ログインするには、2つのオプションがあります。

オプション1:モバイルデバイスのSMS

最初のオプションは、モバイルデバイスにSMS(ショートテキスト)メッセージを受信することです。次回MyKinstaダッシュボードにログインするときに、「新しいコードを申請」をクリックすると、一意のコードがモバイルデバイスに送信されます。

新しいコードを申請する

新しいコードを申請する

オプション2:Authy

2番目のオプションは、Authyと呼ばれる無料のアプリケーションを利用することです。Authyには、ブラウザー拡張機能をはじめ、デスクトップやモバイルなどのすべてのデバイス用のアプリケーションがあるという利点があります。これを設定するには、モバイルデバイスまたはブラウザにAuthyアプリをインストールします。アプリを起動すると、電話番号を確認する必要があります。電話してもらうか、登録コードをメッセージしてもらいます。

setup authy app

Authyのアプリのセットアップ

次回MyKinstaダッシュボードにログインすると、次の画面で認証コードを入力するよう求められます。

Authyのコード

Authyのコード

Authyアプリを起動するだけで、一時的なコードが生成されます。ブラウザ拡張機能を使用している場合は、自動的にポップアップ表示されます。

mykinsta authy

MyKinstaのAuthy

以上です!Kinstaアカウントがはるかに安全になりましたので、ご安心ください。

WordPressの二要素認証を有効にする

Kinstaダッシュボードのセキュリティが確保された上で、ウェブサイト自体でもWordPressの二要素認証を有効にすることができます。次の2つの選択肢のいずれかをお勧めします。

Two Factor Authentication

WordPressプラグインTwo Factor Authenticationは、人気のあるバックアッププラグインであるUpdraftPlusの作者によって開発されたものです。標準のTOTP + HOTPプロトコル(Google Authenticator、Authyなど)をサポートしています。プラグインには無料とプレミアム版があります。

WordPressプラグインTwo Factor Authentication

WordPressプラグインTwo Factor Authentication

10,000以上のアクティブなインストールがあり、評価は5つ星のうち4.5で、次の機能を備えています。

Google Authenticator

完全に無料のソリューションをお探しなら、WordPressプラグインGoogle Authenticatorが最適です。注:ただし、2つの異なるアプリを使用することになります。自分の環境に最も効果的な手段をご判断ください。1つのアプリにしたい場合は、スタータープランにアップグレードするのがよいでしょう。この例では、無料のGoogle Authenticatorを使用します。

Google Authenticatorプラグインには30万以上のアクティブなインストールがあり、評価は5つ星のうち4.5です。完全に無料で、ユーザーの人数の制限はありません。他の認証プラグインには、有料プランにアップグレードしない限り、制限があります。Google AuthenticatorプラグインはWordPressのリポジトリからもダウンロードできますが、WordPressダッシュボードのプラグインメニューの「新規追加」で検索することもできます。

インストール後に、ユーザープロファイルをクリックしてアクティブにし、新しい秘密キーを作成するか、QRコードをスキャンします。

Google Authenticatorの設定

Google Authenticatorの設定

その後、携帯電話で無料の認証システムアプリのいずれかを使用できます。

これを有効にすると、ログインする際に、通常のパスワードと、携帯電話のGoogle Authenticatorアプリからのコードが必要になります。WordPressのログインページに追加フィールドが表示されます。 このプラグインはまた、WordPressログインURLを変更するために以前に推奨したプラグインと完全に互換性があります。

google authenticator wordpress login

Google AuthenticatorのWordPressログイン

以上です!これで、KinstaアカウントでもWordPressウェブサイトでも二要素認証を使用できるようになりました。

まとめ

お客様に最もよく依頼された機能の一つであるため、二要素認証を提供できるようになったことを大変嬉しく思います。これで、WordPressウェブサイトの保護が少し簡単になりました!当社のWordPressセキュリティに関するより詳細なガイドも是非ご覧になって、不正アクセス対策をご確認ください。

WordPressの二要素認証の仕組みについてご不明な点がございましたら、以下にコメントを書いたたり、MyKinstaダッシュボードでサポートチケットを開いたりしてください。


この記事が面白いと思った方は、KinstaのWordPressホスティングプラットフォームも大好きでしょう。ウェブサイトをスピードアップし、当社のベテランのWordPressチームからの24時間365日のサポートを是非ご利用ください。Google Cloudを使用したインフラストラクチャは、自動スケーリング、パフォーマンス、およびセキュリティに重点を置いています。Kinstaの魅力をご案内させてください。当社のプランをご確認ください。