リリースノート: iThemes Security Pro の 2 要素コードに追加された暗号化

iThemes Security Pro の最新リリースでは、多要素ログイン認証に使用される 2 要素認証 (2FA) コードを保護するための暗号化が追加されました。 サイトがこの新しい機能を使用していることを確認するには、wp-admin プラグイン ダッシュボードで iThemes Security Pro バージョン 7.2.2 にアップグレードしてください。

他の新機能と同様に、新機能と追加した理由について疑問があるに違いありません。 この投稿では、どのような変更を行ったか、2 要素認証に追加のセキュリティ機能を追加することを選択した理由、および WordPress ログイン セキュリティ全体の現在の状態に関するいくつかの考えについて詳しく説明します.

2 要素認証コード ストレージのこの変更は何を伴いますか?

iThemes Security は、モバイル アプリ、電子メール、バックアップ コードの 3 種類の 2 要素認証方法をサポートしています。 それぞれの機能は少し異なります。

電子メール 2FA を使用すると、iThemes Security はランダムな 8 桁のコードを生成し、電子メールで送信します。 このランダムコードの「ハッシュ」と呼ばれるものを WordPress データベースに保存します。 ハッシュにより、データベースに保存されているのと同じ 8 桁のコードが提供されたかどうかを確認できます。

ただし、iThemes Security は、ハッシュを元の 8 桁のランダム コードに「デコード」することはできません。 これが、iThemes Security に 2FA メールの「再送信」を依頼すると、最初のメールで送信した同じ 2FA コードを再送信する代わりに、新しいランダム コードを生成する理由です。

これは、WordPress がパスワードが正しいかどうかを確認する方法に似ています。 ただし、パスワードを忘れた場合は、新しいパスワードを作成する必要があります。WordPress は現在のパスワードを送信できません。

モバイルツーファクターは違います。 モバイル アプリに 30 秒ごとに新しいコードが表示されます。 これは、iThemes Security が新しいコードをそれぞれデータベースに保存しているということですか? いいえ、代わりに iThemes Security は「共有シークレット」の概念を使用します。

iThemes Security で Mobile Two-Factor を設定すると、アカウント固有の秘密鍵を含む QR コードが表示されます。 Two-Factor アプリで QR コードをスキャンすると、秘密鍵が電話にコピーされます。

モバイル アプリを使用してログインすると、iThemes Security と携帯電話はそれぞれ「共有秘密」キーに基づいて 6 桁のコードを生成します。 コードが一致すれば、あなたは入っています！

ハッシュのみを保存する必要がある電子メール ベースの 2 要素認証とは異なり、これは、平文にアクセスできる方法でモバイル アプリの秘密鍵を保存する必要があることを意味します。

WordPress の 2 要素認証プラグインとサービスの大半は、2 要素秘密鍵を WordPress データベースに保存しています。iThemes Security も例外ではありません。 これらのコードは、ユーザーが電話またはデバイスの認証アプリから 2FA コードを入力したときに、セキュリティ プラグインがこれらのコードを照合して、ログインしようとしているユーザーを認証できるように保存する必要があります。

これらのコードをデータベースに保存することは、データベースに保存された情報にはデータベース ユーザーとそのパスワードのみがアクセスできるため、最も安全な方法です。 これらの資格情報は WordPress の wp-config.php ファイルに保存され、これにより WordPress サイトはこのデータベースの情報にアクセスできるようになります。

2FA コードにファイル システム ベースのアプローチを使用するサービスはいくつかありますが、iThemes Security やその他の主要な 2 要素認証サービスのほとんどは、より安全なデータベース ストレージ方法を選択しています。

セキュリティを強化するために、サイトの WordPress データベースに保存されているこれらのコードに暗号化を追加しました。 データベースが別の脆弱性によって何らかの形で侵害された場合、この追加された暗号化により、別のセキュリティ層が追加され、他の脆弱性と組み合わされる可能性のあるログインベースの攻撃から WordPress サイトを保護します.

この機能を追加することにした理由

WordPress Web サイトが適切に保護されている場合、2 要素認証コードが公開される可能性は低くなります。 ただし、データベース アクセスが侵害されるホスティング プロバイダーのサービス レベルの脆弱性がある場合、またはプラグインまたはテーマで活発に悪用されているゼロデイ脆弱性がある場合、暗号化されていない 2 要素認証コードが別の脆弱性と組み合わせて使用​​される可能性があります。 .

iThemes では、お客様の WordPress Web サイトのセキュリティは、当社のビジネスにとって非常に重要です。 そのため、エッジケースの脆弱性シナリオでさえ私たちの注意を引いた場合、私たちの最初の対応と優先事項はそれらのサイトのセキュリティです.

私たちの目標は、ファイルやデータベースからログイン手順まで、サイトのあらゆる側面がすべて悪意のある攻撃者から保護されるように、WordPress サイトをあらゆる場面で安全にすることです。 攻撃から効果的に防御するには、WordPress のすべての側面が適切に保護されている必要があります。

二要素認証とは何ですか?

2 要素認証 (2FA) は多要素認証 (MFA) の一種で、システム (この場合は WordPress サイト) で ID を認証するために 2 つの検証方法を要求することでアクセス セキュリティを強化します。 これらの要因には、ユーザー名や電子メール、パスワードなどのユーザーが知っているものと、認証アプリケーションを使用してデバイスにアクセスしてユーザーを認証したり、ユーザーが誰であるかを判断したりするなど、ユーザーが持っているものを含めることができます。 Google Authenticator などの認証アプリは、1 分ごとに変更される時間ベースのワンタイム パスワードを生成します。

パスワードだけでは不十分

フィッシング攻撃、ソーシャル エンジニアリング攻撃、パスワード ブルート フォース攻撃、およびパスワードの再利用の問題により、単一のパスワードのみの認証ではもはや十分ではなくなったため、2 要素認証はますます重要になっています。

このような問題が原因で、iThemes Security などのイノベーターは、生体認証と秘密/公開キー暗号化を使用して真にパスワードのないログイン用のパスキーを追加し、ミッション クリティカルなシステムを保護するためのより洗練された認証プロトコルを作成しました。 パスワードは壊れているため、iThemes Security Pro はパスキーによるパスワードレス認証を可能にする最初の WordPress セキュリティ プラグインです。

パスキーを使用すると、秘密/公開キーの暗号化によってパスワードと 2FA の両方が不要になるため、2 要素認証コードの保存は問題になりません。

WordPress Web サイトがビジネスや組織にとって本当にミッションクリティカルである場合、iThemes Security を使用することで、その資産を保護するというコミットメントを示すことができます。 摩擦のないパスワードなしのログインと暗号化された 2 要素認証機能を提供して、セキュリティに配慮した Web サイトの実装に対する組織の取り組みを関係者に示すようにしてください。

iThemes Security Pro をまだ使用していない場合は、以下のリンクから購入することで、最高の WordPress セキュリティ プラグインの Pro バージョンを入手できます。

WordPress を安全に保護するための最高の WordPress セキュリティ プラグイン

WordPress は現在、すべての Web サイトの 40% 以上で使用されているため、悪意のあるハッカーにとって格好の標的となっています。 iThemes Security Pro プラグインは、WordPress のセキュリティから当て推量を取り除き、WordPress Web サイトを簡単に保護および保護できるようにします。 これは、WordPress サイトを常に監視して保護するフルタイムのセキュリティ専門家がスタッフにいるようなものです。

iThemes Security Pro を入手

この問題を責任を持って私たちに開示してくれた Calvin Alkan に感謝します。