二要素認証: WordPress ユーザーのためのガイド
公開: 2023-01-03オンライン バンキングや、ユーザーに対して最高のセキュリティを必要とするサイトで、2 段階のログイン認証プロセスに遭遇したことがあるでしょう。 WordPress は 2 要素認証 (2FA) をサポートしているため、銀行と同じレベルのセキュリティを確保できます。 自分の WordPress サイトであろうと、クライアント向けに構築したサイトであろうと、強力なセキュリティは基本です。
2 要素認証は、すべての WordPress サイト所有者が採用を真剣に検討すべき非常に重要な保護レイヤーを追加します。 2FA は多くの一般的なハッキングの試みを不可能にするため、ハッカーは 2FA で保護されたサイトを単純に避け、うまくいかないとわかっている方法でわざわざ侵入しようとはしません。 すべての WordPress サイトは、2 要素認証が提供する追加のセキュリティ レイヤーの恩恵を受けることができます。
強力なパスワードでは不十分な理由
サイバー脅威は、あなたとあなたの顧客に深刻なリスクをもたらします。 許可されていないユーザーがサイトの管理ダッシュボードにアクセスすると、何かが起こる可能性があります. 一瞬ですべてのデータを失う可能性があります。 しばらくの間、Web サイトを制御できなくなる可能性があります。 犯罪者がユーザーの個人情報を収集する可能性があります。 ユーザーは満足しませんが、何が起こったのかを知らせる必要があります。 法律では、個人識別データの侵害を開示する必要があります。
はい、サイトとそのユーザーを保護するために、すべてのユーザー アカウントに強力なパスワードを要求することが常に重要です。 ただし、強力なパスワードだけでは十分な保護は提供されません。 攻撃者は、強力なパスワードを推測したり、盗んだパスワードを使用したりして、サイトに侵入できます。 これは今や一般的な現実であり、従来のパスワードベースのログインは単一のセキュリティ レイヤーとしては不十分です。
強力なパスワードは、追加のセキュリティ層なしでは十分に強力な保護を提供しません。 すべてのユーザー アカウントに 2 要素認証を使用すると、サイトを保護して顧客を保護するために必要なレイヤーが追加されるため、はるかに効果的なセキュリティ対策になります。 強力なパスワードを強制する必要がないと言っているわけではありません。 あなたもそれを行うべきです—そして2FAを追加してください!
二要素認証は比較的簡単に設定できます。 そうすることで、悪意のある無許可のユーザーが WordPress サイトへの管理者アクセス権を取得するリスクを劇的に減らすことができます. 勝て、勝て!
2 要素認証でブルート フォース攻撃をブロック
ブルート フォース ログイン攻撃を阻止することは、WordPress サイトに追加された 2 要素認証による保護の好例です。 ブルート フォース攻撃は一般的な脅威ですが、2 要素認証によって排除されます。 ブルート フォース ログイン攻撃では、ハッカーは、管理者や他のユーザー アカウントに対して、多くの一般的な辞書ベースのパスワードを迅速にテストします。 ハッカーは、盗んだユーザー名、電子メール アドレス、およびパスワードの組み合わせの大規模なリストをログイン画面でテストすることがあります。
何千もの不正なログインをスクリプト化して自動テストすると、サイトの速度が低下したり、オフラインになったりする可能性があります。 このため、ブルート フォース ログイン攻撃は、サービス拒否攻撃の影響を与えることがよくあります。 しかし、サイトのすべてのユーザーが 2 要素認証を有効にしている場合、これらのブルート フォース方式はまったく機能しません。 ハッカーは、大規模なサイトでブルート フォース ログインを試みることはありません。 彼らが成功する可能性はありません。
WordPress サイトに 2 要素認証を追加する
このガイドでは、2FA の詳細について説明します。 WordPress プラットフォームでユーザー認証がどのように機能するかを学習します。 次に、WordPress プラグインを使用して 2FA を実装する方法について説明します。
WordPress には 2 要素認証がありますか?
WordPress コアには 2 要素認証が組み込まれていません。 追加する必要があります。
2 要素認証は、WordPress プラグインや場合によっては外部サービスを使用してサイトに追加する追加のセキュリティ レイヤーです。 つまり、デフォルトの WordPress インストールのコア ユーザー アカウント機能に基づいて構築されています。 2FA を使用すると、WordPress サイトにパスワードだけでなく、各ユーザーがログインを試みるたびに身元を確認するための追加情報が必要になります.
2FA 検証は、許可されたサイト ユーザーがアクセスできる次のようなソースから取得されます。
- 電話にプッシュされたテキスト メッセージ、通話、または通知
- 電子メールで送信されたリンクまたはコード
- QRコード
二要素認証は非常に安全です。 悪意のある攻撃者やハッカーは、ユーザーの外部チャネルやデバイスに物理的にアクセスできなくなります。 これは、パスワードを解読できたとしても、認証の第 2 層がなければ、サイトへの不正アクセスを取得できないことを意味します。 ユーザーのパスワードで侵入するには、ユーザーの電子メール、コンピューター、または電話にも侵入する必要があります。 これは発生する可能性がありますが、毎日何百万ものパスワードをテストするスクリプトによるブルート フォース攻撃と比較すると非常にまれです。
WordPress サイトに 2FA は必要ですか?
2 要素認証を実行すると、オンライン世界の多くの悪意のある人物がサイトへの不正アクセスを試みることさえブロックされます. 厳密には必要ではありませんが、その保護と安心を必要としない人がいるでしょうか?
WordPress サイトがハッキングされたり、ハッキングされたという話を聞いたことがある場合は、スパム リンク、リダイレクト、悪意のあるコードがすぐにサイトに散らばり、評判に取り返しのつかない損害を与える可能性があることをご存知でしょう。
さらに悪いことに、WooCommerce を使用して e コマース サイトを運営している場合、ハッカーが名前、住所、電話番号、電子メール アドレス、さらにはクレジット カード番号などの顧客データにアクセスできる可能性があります。
そうなってしまうと、混乱から抜け出すのに苦労するでしょう。
WordPress 2FA は、パスワードが危険にさらされた場合でも、保護の第 2 層がハッカーに対して破られないロックである限り、アカウントの安全性と安全性を確保しながら、悪意のあるユーザーを締め出す第 2 の防御線です。
WordPress サイトの所有者として、2 要素認証機能は 100% オプトインであることを理解してください。 これはコア機能ではないため、必要に応じてサイトに実装するだけで済みます。 それは完全に無料で、ハッキングや攻撃に関する多くの心配を軽減する、ほとんどクラック不可能な保護層を追加します.
そうは言っても、2FAはWordPressサイトのセキュリティに対する簡単なアプローチであり、まだ使用していない場合は誰もが使用する必要があり、パスワードの代わりにパスキーを使用するより強力で安全なログイン方法です.
複数のユーザーがいる WordPress サイトでの 2FA の利点
標準の変更されていない WordPress ログイン ページでは、ユーザーとユーザーはユーザー名とパスワードを入力するだけで、サイトにアクセスできます。 ログイン資格情報の送信後、ユーザー名とパスワードの組み合わせが WordPress データベースの内容と一致する場合、ユーザーは WordPress バックエンドへのアクセス権と、適用したパーミッション ルールに基づくすべての権限を即座に取得します。
WordPress には 6 つの事前定義されたユーザー ロールがあります。
- スーパー管理者
- 管理者
- 編集者
- 著者
- 寄稿者
- 購読者
デフォルトでは、これらのロールはサイトで特定の一連のタスクを実行することが許可されています。 ロールが実行できるタスクは「機能」と呼ばれます。
標準サイト ユーザーのほとんどは、おそらく最も機能の少ないサブスクライバー ロールに属しています。 ただし、サイトのバックエンドに定期的にアクセスする追加の管理者、編集者、作成者がいる場合があります。 一部のユーザーはパスワードをずさんに扱ったり、アカウントを共有したり、特別な権限を持つ一部のユーザーが知らないうちに他のユーザーに権限を与えたりする可能性があります。 ユーザーがアクティブでなくなった、または必要なくなったときに、ユーザーを削除したり、権限をダウングレードしたりするのを忘れる場合があります。 これらの状況はすべて一般的であり、攻撃者の機会を生み出します。
ハッカーが管理者のユーザー名とパスワードの 1 つだけを見つけた場合、サイト全体に完全な権限で即座にアクセスできます。 それは明らかに悪いことですが、サブスクライバーがハッキングされるのも望ましくありません。 その場合でも、違反を報告する必要があり、ユーザーがあなたとあなたのブランドに対して持っている信頼が損なわれます.
二要素認証がユーザーログインを保護する方法
2 要素認証は、電子メール メッセージ、テキスト メッセージ、または認証アプリを使用してユーザーの ID を二重に検証することにより、ハッカーがユーザー アカウントに侵入するのを阻止します。 ログイン時に、2 番目の認証方法が有効になります。 その結果、ユーザーはこれらのセカンダリ チャネルのいずれかを介してログインを確認する必要があります。
簡単に言うと、あなたまたは別のサイト ユーザーがサイトのログイン ページに個人のログイン データ (ユーザー名とパスワード) を入力すると、ログインしようとしているユーザーに関連付けられた電子メール アドレスまたは電話番号に直ちに通知が送信されます。通常、このログイン通知には、ログイン試行を続行できるようにするためのリンク、QR コード、またはワンタイム PIN が含まれます。
ユーザーがサイトにアクセスするには、電子メールまたはテキスト メッセージの指示に従う必要があります。 特定のアクセス リンクをクリックするか、PIN を入力するよう求められる場合があります。
この余分な手順によりログイン プロセスが遅くなりますが、追加されたセキュリティは、サイバー犯罪者が毎日 Web 全体で実行する単純なユーザー名とパスワードのハッキングに対してサイトを開いたままにするリスクをはるかに上回ります.
二要素認証は完全に安全ですか?
100% 誰にでもできるセキュリティ対策はありません。 意志のあるハッキングの世界では、ハッカーは方法を見つけます。 最悪の事態が発生し、サイトがハッキングされていることに気付いた場合は、サイトを攻撃前の安全な時間にすぐに復元できる WordPress バックアップ プラグインを実行することをお勧めします。
2FA を WordPress の標準的なパスワード保護プロトコルと比較すると、2 要素認証の方が安全であることがわかります。 このプロセスでは、ユーザー (およびあなた) は、各ユーザーに固有のソースからのすべてのログイン試行を確認する必要があります。 通常、これは電話または個人の電子メール アカウントです。 つまり、ハッカーは、サイト ユーザーのデバイスや外部のログイン情報にもアクセスできる場合にのみ、2FA で保護された WordPress サイトの内部構造にアクセスできます。 これが発生する可能性は非常に低いため、2FA を追加すると、不正なログインによってサイトがハッキングされる可能性が非常に低くなります。
WordPress に 2FA を追加して、Web サイトとそのユーザーを保護する方法を学ぶ準備はできていますか? その場合は、サイトに 2FA 機能を組み込んで実行する方法を学びましょう。
WordPress で 2 要素認証を有効にするにはどうすればよいですか?
サイト ホストによっては、ホストの cPanel またはユーザー ポータルで 2FA 保護を有効にできる場合があります。
ただし、ホストが 2FA 保護を提供していない場合は、WordPress プラグインを使用して独自に簡単に実装できます.
WordPress 二要素認証プラグイン
以下は、スクリプト化されたログイン攻撃からサイトを即座に保護する最高の 2FA WordPress プラグインの一部です。
1. iThemes セキュリティ 2 要素認証
私たちの意見では、利用可能な最高の包括的な WordPress サイト セキュリティ スイートは、2 要素認証を備えた iThemes Security Pro です。 2FA でサイトを保護するだけでなく、追加のサイト セキュリティ機能が付属しています。
- ブルート フォース攻撃保護
- ファイル変更検出
- 404 エラー検出
- 強力なパスワードの強制
- 悪いボットとスパムのブロック
- 離席中モード
iThemes Security Pro は、WordPress のセキュリティから当て推量を取り除きます。 セキュリティ プラグインを使用するのにセキュリティの専門家である必要はありません。iThemes Security Pro を使用すると、技術的な知識があまりなくても、WordPress Web サイトを簡単に保護および保護できます。
WordPress セキュリティ プラグイン iThemes Security Pro を使用して 2 要素認証を追加するのは、初心者のユーザーでも簡単です。 インストールしてアクティブ化すると、サイトのユーザーはパスワードと、セカンダリ デバイスに送信される時間に敏感なコードを入力する必要があります。
長所、短所、およびコスト
- iThemes Security Pro の長所: 2 要素認証のみよりもはるかに多くのセキュリティ保護が得られます。 さらに良いことに、2FA オプションは堅牢で使いやすいです。 プラグインを有効にすると、悪意のあるログインからサイトが完全に保護されていることを確信できます。
- iThemes Security Pro の短所:プラグインは、他の有料の 2FA オプションよりも費用がかかりますが、費用対効果は高くなります.
- iThemes Security Pro の費用: 1 つのサイトのみを保護する必要がある場合、プラグインの費用は年間 80 ドルです。 最大 10 サイトの場合、年間 127 ドルかかります。 無制限のサイトの場合、年間 199 ドルでプラグインを使用できます. 代替案を検討する場合、これは投資する価値があります。
2.ルブロン二要素認証
WordPress 用の使いやすい 2 要素認証プラグインをお探しの場合は、Rublon 2 要素認証プラグインをご覧ください。 Rublon 2FA プラグインは、技術的なハードルなしで、すべての不正ログインからサイトをすばやく保護します.
Rublon プラグインをダウンロードしてインストールすると、次に WordPress にログインしようとするときに、WordPress ユーザー アカウントのメール アドレスに送信される確認リンクをクリックする必要があります。 次に、リンクをクリックして身元を確認すると、今後のログインのためにサイトにデバイスを記憶させるかどうかを尋ねられます. これは、サイトにアクセスするたびに同じデバイスとブラウザーを使用している限り、サインインするたびに身元を確認する必要がないことを意味します。
検証後に別のデバイスまたはブラウザを使用している場合は、プロセスを繰り返して保存するだけで済みます。ただし、他の人がアクセスできるデバイスでこれを行わないように注意してください!
Rublon 2FA プラグインの無料版は、ユーザーが 1 人しかいないWordPress サイトに最適なオプションの 1 つです。 有料版にアップグレードすることで、このプラグインを使用してマルチユーザー Web サイトを保護することもできます。
長所、短所、およびコスト
- Rublon Two-Factor Authentication の長所: ほとんどの場合、サイト管理者は手を煩わせません。 プラグインをインストールしてアクティブ化したら、トレーニングや構成は必要ありません。 それは箱から出してすぐに動作します。
- Rublon 2 要素認証の短所:プッシュ通知やテキスト メッセージの検証をサポートしていません。 そのため、2FA のメール検証のみを使用できます。
- Rublon 2 要素認証のコスト:このプラグインの個人用の 1 つの Web サイト バージョンは完全に無料です。 そのため、マルチユーザー サイトを運営している場合、または複数のサイトを所有している場合は、有料版のプラグインを入手する必要があります。 これを行うには、営業チームに連絡して見積もりを依頼してください。
3.デュオ二要素認証
Duo Two-Factor Authentication は、最も高度な 2FA WordPress プラグインの 1 つです。 これにより、WordPress ダッシュボード内のユーザー ロールに基づいて 2 要素認証を設定できます。
たとえば、編集者と作成者には 2FA ログイン プロセスを使用するように要求できますが、サブスクライバー (管理ダッシュボードにまったくアクセスできない) は、ユーザー名とパスワードを入力するだけでサイトにアクセスできます。 この便利な機能により、基本的なユーザーが 2 要素認証の長いプロセスに不満を感じるのを防ぐことができます。
このプラグインは、次のようないくつかの異なるユーザー検証オプションも提供します。
- 自動電話
- 暗証番号付きの SMS メッセージ
- モバイルアプリ
これは、WordPress の 2 要素認証メールのみを提供する Rublon 2 要素認証プラグインよりも柔軟な 2FA ツールです。
長所、短所、およびコスト
- Duo 2 要素認証の長所:この WordPress 2 要素認証プラグインは、ユーザー ロールの構成をサポートし、さまざまなユーザー認証方法を備えています。 このため、WordPress サイトにとって非常に用途が広いです。
- Duo 二要素認証の短所:残念ながら、このプラグインは WordPress マルチサイトをサポートしていません。 そのため、一部のユーザーにとっては問題外かもしれません。
- Duo 2 要素認証のコスト:サイトに定期的にログインするユーザーが 10 人以下の場合、このプラグインは完全な無料ソリューションです。 ただし、10 を超える場合は、追加のユーザーごとに月額 3 ドルを支払うことで制限を増やすことができます。
4. Google Authenticator – Google の WordPress 向け二要素認証
WordPress の Google 2 要素認証も、WordPress サイトに 2FA を実装する際に検討すべきオプションです。
Google Authenticator は、電子メール メッセージ、QR コード、プッシュ通知など、悪意のある不正なログインからサイトを保護するさまざまな検証方法を提供します。
Duo Two-Factor Authenticator と同じように、このプラグインを使用して、特定の WordPress ユーザー ロールに対して特定の 2FA ルールを設定できます。 この機能により、ハッキング攻撃との戦いにおいて、Google の 2 要素認証が WordPress の強力な武器になります。
ユーザー名、パスワード、および追加の検証要素を要求するように Google Authenticator を設定できます。 または、パスワードを必要とせずに、ユーザー名と追加要素のみを要求するようにプラグインを構成できます。
長所、短所、およびコスト
- Google Authenticator の長所:このプラグインは、2FA に関連する特定のユーザー ロールをサポートし、SMS、QR コード、プッシュ通知、自動通話など、サイト ユーザーを確認するためのさまざまな方法が付属しています。
- Google Authenticator の短所: Google が無料で提供するバージョンは、使用できる機能が比較的限られています。
- Google Authenticator のコスト:無料版では、シングル ユーザーの 2 要素認証が提供されます。 年間 15 ドルから複数のユーザー向けにアップグレードできます。
WordPress サイトに 2 要素認証を導入する時が来ましたか?
WordPress サイトの安全性は、ログイン ページの許容範囲内に限られることを忘れないでください。 ほとんどの場合、ユーザー名とパスワードだけでアクセスを制限するだけでは十分ではありません。
2FA を実装することで、サイト、訪問者、ユーザー、顧客を悪意のあるブルート フォース攻撃から守ることができます。
優れたバックアップ システムを 2 要素認証で補完すると、サイトを保護するための基本的な手順を踏むことになります。
Dan Knauss は、StellarWP のテクニカル コンテンツ ジェネラリストです。 彼は 1990 年代後半からオープン ソースで、2004 年からは WordPress で、ライター、教師、フリーランサーとして働いています。