多要素認証でWebサイトをより安全にする

多分あなたは非常に多くの異なるパスワードを覚えるのにうんざりしていて、あなたはあなたのホスティング会社があなたのウェブサイトのセキュリティの面倒を見ていると思います。 しかし、私はあなたに保証します：あなたがあなたのウェブサイトのセキュリティを保護して世話をするならば、あなたは大きな不快感と望ましくない結果からあなた自身を救うでしょう。 Webサイトのセキュリティ違反は、あなたとあなたのビジネスに影響を与えるだけでなく、顧客にも影響を与える可能性があり、適切なセキュリティ対策を講じなかったために法的な問題が発生する可能性があることに注意してください。

少し楽に眠れるように（この時代に可能であれば）、多要素認証を使用してWordPressWebサイトをより安全にする方法を説明します。

多要素認証（MFA）とは何ですか

多くの映画で多要素認証（MFA）を見たことがあるだけでなく、クレジットカードや電子メールなどでオンライン支払いを確認するためにすでに使用しています。 これは、コンピューターアクセス制御の方法であり、ユーザーが複数の異なるIDの証明を提示した後にのみアクセスが許可されます。 これらの証明または認証要素は多様である可能性があります。

• 一意の識別子を持つUSBスティック、クレジットカード、キーなど、人が所有する物理的なオブジェクト。
• パスワードやPINなど、その人が知っている秘密。
• 指紋、虹彩、声、タイピング速度、キーストローク間隔パターンなど、人の生体認証特性。

2つの要素のみを組み合わせる場合は、「2段階認証」または「2要素認証」または「2FA」とも呼ばれます。 また、多要素認証は、ユーザー名とパスワードだけでなく、常に安全であるという考え方です。

WordPressWebサイトにMFAを追加する必要があるのはなぜですか

パスワードを解読する方法の1つは、依然としてブルートフォース攻撃です。 この攻撃は、その名前が示すように、ユーザーとパスワードの可能な組み合わせを野蛮にテストすることで構成されています。 これらのタイプの攻撃は、ますます高度なアルゴリズムとツールを使用してボットネットによって実行されます。

多くのホスティング会社は、そのような攻撃を防ぐためにファイアウォールやその他のツールをすでに組み込んでいます。 それでも、ユーザーに強力なパスワードの追加を強制したり、3か月ごとにパスワードを変更させたりするなど、セキュリティ違反を軽減するのに役立つ他の推奨事項もあります。

ただし、Webサイトに多要素認証を追加すると、ブルートフォース攻撃に対して100％安全になります。 その余分な要素と人を特定するステップは、このタイプのボットのチェックメイトです。

2段階認証を実装する方法

2段階の検証を追加するということは、通常のユーザーとパスワードの認証に追加の検証手順を追加する必要があることを意味します。 最も簡単な方法は、各ユーザーが電話に認証アプリケーションをインストールして、数秒間だけ有効な一時的なコードを表示し、これが検証の形式として（パスワードに加えて）追加する必要があることです。 ）。

最もよく知られているモバイルアプリは、Google Authenticator、Authy、HENNGE OTP、FreeOTP、SoundLogin（音声認証の場合）などです。 それらはすべてAndroidおよびiOSアプリとして利用できます。

GoogleAuthenticatorを使用して2段階認証プロセスを実装する方法を以下で見てみましょう。 プロセスは、前述のアプリのいずれかと非常に似ていることに注意してください。

Google認証システム

Google Authenticatorは、AndroidとiOSで利用できるシンプルなアプリで、30秒ごとに変化する6桁の数値コードを表示するだけです。 これは、WordPressまたはWordPressを使用している他のサービス（メールサービス、ホスティング、クラウド、ソーシャルネットワークなど）にログインした後に使用する必要があるものです。アカウントごとに、コードとそれが更新されるまでの残り時間。

2FAを使用してWordPressにアクセスするすべての人は、このシステムで本人確認を行うために、モバイルにGoogle認証システムアプリをダウンロードする必要があります。

2FA用のプラグインをインストールしてアクティブ化する

Google Authenticator、Wordfence Login Security、miniOrangeのGoogle Authenticator、Two Factor Authenticationなど、2段階のユーザー認証を実行できるプラグインがいくつかあります。 Google認証システムプラグインで実行する手順を見てみましょう。

まず、WordPressダッシュボードから、「新規追加」プラグインをクリックします。

インストールするプラグイン（この場合は「GoogleAuthenticator」）を見つけて、「インストール」と「アクティブ化」をクリックします。

プラグインを設定する

プラグインをアクティブ化すると、新しいGoogle認証システム設定オプションが表示されます。

Google Authenticatorの構成ウィンドウで、二重認証を使用するかどうか、および二重認証を有効にする役割をユーザー自身が決定するかどうかを指定するオプションがあります。

次に、二重認証でマークされた役割の1つを持つ各ユーザーのプロファイルに、Google認証システムの構成オプションがあります。

ユーザーが2FAを有効にする必要があるかどうか、ユーザーがログインするのに余分な時間が必要かどうか、携帯電話にインストールされているアプリに表示されるアカウントの名前、シークレットコード、QRコードの表示、追加を許可するかどうかを指定できます。アプリのパスワード。

構成済みアカウントをモバイルアプリに追加します

これで、2FAログインでログインするように指示された人が初めてログインすると、次のウィンドウが表示され、モバイルでQRコードをスキャンして、アプリに表示される生成されたコードを確認するように求められます。

モバイルのGoogle認証システムアプリでは、ユーザーはアプリ画面の右下にある[+]ボタンをクリックして新しいアカウントを追加し、コードをスキャンすることを選択し、WordPressサイトに表示されているコードをスキャンした後、 、セットアップの準備が整います。

これで、ユーザーが行う必要があるのは、初期画面のアプリに表示されるコードを入力することだけで、構成は完了です。

次回ユーザーがサイトにアクセスするときは、2つのステップでアクセスする必要があります。最初にユーザー名とパスワードを入力し、次にGoogle認証システムコードを入力します。

以上です！ これにより、Webサイトのセキュリティが二重に確保されます。

結論

Webサイトのセキュリティを維持するには、攻撃の犠牲になるリスクを最小限に抑えるための一連のベストプラクティスに従う必要があります。 自分自身を100％保護することは不可能ですが、Webサイトに二重のセキュリティバリアをインストールするのは簡単で無料であることはすでに見てきました。問題が発生するまで、予防が治療よりも優れていることがわかったら、待ってください。

UnsplashのFLY：Dの注目の画像。