【WordPressのセキュリティ対策】ログインURLの変更と2段階認証

WordPressのセキュリティ対策として考えなければいけないことはたくさんあります。ApacheやNginxの設定や、コンテンツが設置されたディレクトリのパーミッションの設定だったりです。

攻撃手法は多種多様なのでその全てに対策を施すのはとても難しく、知識とスキルも必要になってきますが、ここではWordPressのプラグインを使ってお手軽に設定できるセキュリティ対策を2つ紹介します。

• 管理画面へのログインURLの変更
• MFA（2段階認証）の設定

WordPressサイトの乗っ取りを防ぐための対策です。

管理画面へのログインURLの変更

ワードプレスのログインURLはドメインの後ろに /wp-admin をくっつけるだけで入れます。これはデフォルトの設定、つまり既知のURLになるため、誰でも簡単にログイン画面へたどり着けてしまいます。そこで WPS Hide Login というプラグインを使ってログインURLを変更します。

ログインできなくなると困るので、事前にバックアップを取得しておくことをオススメします

ワードプレスの管理画面からプラグインをダウンロードし、有効にします。

使い方は非常に簡単で、一般設定の下方にある Login url の項目を変更するだけです。

変更後、一度ログアウトし、新しいURLでログイン画面にたどり着けるか試します。

問題なければ、グーグルのSearch Consoleを使っている場合、インデックスされないようにbotのクロールを拒否します。

MFA（2段階認証）の設定

MFA（Multi-factor authentication）は通常のパスワードに加えて、30~60秒程度で切り替わるワンタイムパスワードの入力を強制する認証方式です。

ワンタイムパスワードはスマートフォンやiPadなど、個人のデバイスから発行される仕組みのため、そのデバイスを所持していない第三者のログインを防止できます。

ここでは miniOrange と呼ばれるセキュリティ会社が発行しているプラグインを使用します。また、ワンタイムパスワードの発行ツールとして、スマホに Google Authenticator をインストールしておきます。

プラグインをインストールし、有効にします。

プラグインをインスール後、miniOrangeのアカウントを作成します。

アカウント作成後、2段階認証のセットアップ作業になります。

Google Authenticatorを選択

使用したいデバイスを選択し、バーコードを読み取ってGoogle Authenticatorに設定したのち、表示される6桁のコードを入力します。

設定が完了したら、テストを行います。

もう一度QRコードを入力し、

設定完了です。

次回から、管理画面へログインする際にワンタイムパスワードの入力が促されます。

まとめ

WordPressのログインURLの変更と二段階認証の設定方法をまとめました。これでフロントエンド側のセキュリティ対策はガッチガチなので、乗っ取りの心配が軽くなりますね。