総当たり攻撃(ブルートフォースアタック)に対して絶大な効果を発揮し、既存のパスワードを64桁になりえるレベルにまで底上げできる2段階認証。
そのなかでプラグイン開発をやめないレベルの更新頻度かつ、インストール数も多い「miniOrangeの2段階認証」は、設定するだけでログインを過剰防衛できる。
ミスしないかぎり起こらないが、念のためのログインできない場合の対策方法(フォルダ名を変えるだけ)も一緒に説明していく。
2段階認証プラグインは複数存在するため、「なぜminiOrangeなのか」も述べているぞ。
Wordfence(ワードフェンス)の2段階認証が無料になっていた。当サイトはminiOrangeと同時に紹介していたため、Wordfenceをお使いの方はプラグインを1つ減らせるし、Wordfenceに乗り換えを推奨する。
2段階認証とは
一般的にはアカウント情報の他に「30秒しか使えない6桁のコードを入力させる認証」を増やす。
仮にパソコンが盗まれても「2段階認証ワンタイムパスワードを確認できるアプリ」がスマホにしかないので、「両方盗まないと不正アクセスできない」といったセキュリティ向上の恩恵を受けられる。
当サイトでは2段階認証アプリも紹介しているので、使用していなければ一度確認されたし。
ここでは説明しないが、同じminiOrange製品にSMS・メールでの2段階認証をできるプラグインはあるので、何らかの理由でアプリを使用できないなら検討してみるといい。
プラグインEmail Verification / SMS verification / Mobile Verification
なぜminiOrangeなのか
他にも2段階認証プラグインはあり、日本では「Google Authenticatorプラグイン」が紹介されている。
見てのとおり、この画像の時点で2年間更新されていない。インストール数がminiOrangeより多いので、引き続き使っている人も多いことだろう。
そして、miniOrangeは会社のようなのでガンガン更新される。
ということで、まだ「Google Authenticatorプラグイン」を使用していたら同じく無料のこちらに乗り換えることを勧める。
ただし、miniOrangeはアカウント作成必須なので、信用している前提で進めるぞ。
プラグインを追加
①「プラグイン」にカーソルを合わせる → ②「新規追加」。
③検索に「miniOrange 2 Factor Authentication」と入れる → ④「Google Authenticator – WordPress Two Factor Authentication (2FA)」をインストール。
有効化後、設定の下に「miniOrange 2-Factor」が追加されるのでクリックすると、「Privacy Policy(プライバシーポリシー)変更したよー」的な表示がでてくるので「Okay」をクリック。
アカウント作成
miniOrangeの認証システムを使うためアカウントは必須。
WordPressのメールアドレスが入っているがもちろん捨てアドレスでいいし、できれば「WordPressログインとは何の関係もないメールアドレス・パスワードを設定」しよう。
登録するとメールがくるので、そこに記載された6桁のコードをコピー。
コピーした6桁のコードを「Enter OTP」に入力して「Validate OTP(ワンタイムパスワードを検証する)」をクリック。
完了するとセットアップが始まるが、英語で解説されても意味がわからないので「Skip Setup」をクリック。
上の方に「まだ2段階認証を設定していないよ」表示が出現。
2段階認証設定
私はしないが、仕方なくバックアップをしておこう。
「Setup Two-Factor(2段階認証設定)」タブをクリックし、Authentication methods(認証方法)の「Google Authenticator」を選択。
スマホの種類選択画面が出現し、iPhoneを持っていないためここではAndroidで進めていく。
自動で画面が切り替わり、先に①「Can’t scan the barcode?(バーコードがスキャンできない?)」をクリックしてシークレットキーを保存 → ②アプリの読み取りモードで「スキャン」→ ③表示された「6桁のコード」を入力 → ④「Verify and Save(確認して保存)」。
スキャンできない場合、各アプリの手動入力機能の場所は以下のとおり。
- Google 認証システム:「+」→「セットアップキーを入力」
- IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
- Authy:Add account表示下の「ENTER KEY MANUALLY」
これでログイン時に認証を求められるようになったが、念のため確認しにいく。
ログイン画面のカスタマイズ・確認
ログイン画面に向かうが、その前に2種類ある2段階認証入力フォームを選択しよう。
「Setup Two-Factor」タブにある「Enable 2FA prompt on the WP Login Page」まで進む。
チェック「有り」と「なし」の動作は以下の画像を参照。
わざと悟らせて「2段階認証付きかよ! やーめた!」となる利点か、「ログインフォーム画面にまで侵入された際に2段階認証を設定していると悟られない」利点のどちらかを選ぼう。
基本は試行させる前に諦めさせたいので、「チェック有り」が良い。
これでログインできれば成功している。
ログインできなくなった際の無効化
セキュリティ系プラグインすべてに言えることだが、ログインできなくなったらこの方法をやってみよう。
FTPソフトかサーバーからファイルマネージャーに侵入し、「一時的に」フォルダ名を変更しよう。
これで無効化され、ログインしたらフォルダ名を戻して「有効化」、再度設定をしなおすだけだ。
停止するとログアウトされる
プラグインを停止すると、miniOrangeからログアウトされてしまい「2段階認証が発動していない状態」になる。
「プラグインを停止してそのまま」というよくあるミスなので、忘れないようにしておこう。
「Account Setup(アカウント設定)」タブの「SIGN IN(サインイン:ログイン)」をクリック。
アカウント情報を入力するように言われるので入力しよう。
これでアカウントと設定が呼び出され、自分の情報が表示されたはずだ。
もちろん設定した2段階認証設定も呼び戻せている。
2段階認証を使用した超次元コンボ
ログイン系セキュリティプラグインのXO Securityに付属している機能に、「失敗時の応答遅延」という珍しい機能が付いている。
この機能は、「ワンタイムパスワードの制限時間(約30秒)」と非常に相性がよく、失敗するたび時間が足りなくなるコンボが使える。
これにより、ログインが超次元の存在へ。
セキュリティを高める
セキュリティプラグインは決めづらいが、当サイトの知識を流用して、究極の組み合わせを試してみてはいかがだろうか。
とてつもない、他のサイトではありえない異次元のセキュリティを手に入れるといい。
2段階認証設定で「バックアップコードやシークレットキーの保存場所」に迷っているなら、メモも暗号化されるパスワード管理ソフトを導入しよう。もちろん無料だ。
当サイトはパスワード管理ソフトの紹介に自信を持っているどころか「ガチ勢」なので、是非一読されたし。
カフェや移動中など、有料の暗号化された共有Wi-Fiでも盗聴される可能性があるのでこちらも要確認。
コメント
さっきこのプラグインをインストールしてみたところ
miniOrangeのアカウントを作ることなくTOTPでの2FAが使えました。
プラグインのインストール→有効化→2FAの方法を選択 にて
SMS認証使うときは登録が必要
的な感じでした。
ホイ( ・ω・)/
こんにちは。
「【SSS】WordPressの2段階認証プラグインはminiOrangeが優勝」の記事を読ませて頂きました。
一つ教えて頂きたいのですが、複数のスマホで利用することは可能でしょうか?
ワードプレスで通販サイトを運営してるのですが、管理者が2人いるため、
ログインするときにそれぞれのスマホで2段階認証ができたらと思います。
QRコードをスマホで読み取るときに、複数の機種で読み込めばそれぞれで
2段階認証のコードを受取ることができるのか、ご存知でしたら教えてください。
よろしくお願い致します。
だいぶ前から別の有料セキュリティプラグインに付属している2段階認証に乗り換えて現在のミニオレンジはよくわからないのですが(すっごいデザイン変わってるし!)、どうやら機能としてはあるようです。
参考やりすぎストレージ
ロール=役目に基づいて2段階認証設定だと思うので、おそらく「管理者権限」を持っている3人までが無料、管理者権限以外にも適用させる場合は有料の模様。
参考Two factor authentication | Enable Two factor based on roles
複数人関係は大体「お金を払ってくれるユーザー」だと世界的にバレているので、足元見られます( Ꙭ)
ぷっぷさん、返信ありがとうございます。
他のプラグインでも構わないのですが、複数人管理でおすすめの
Wordpress2段階認証はありますか?
有料版でも大丈夫です。よろしくお願い致します。
個人でしか使わなかったので複数人管理かどうかも、複数管理になることで有料になるのかどうかもわかりませんが、
個人だと以下が有名。
このあたりを見るべきところだと思います。
上記Wordfenceはログインセキュリティ特化版なので、包括的な防御の場合は普通のWordfenceをお使いください∩(・∀・∩
※どちらも複数管理できるかどうかは未確認。
こんにちは!
やりすぎセキュリティさんのおかげで助かりました!
先ほどWordPressを更新するため miniOrange 2-FAなどプラグインをすべて停止しました。
更新完了後、停止したプラグインをすべて再・有効化したのですが、ダッシュボードへのログイン画面、ログアウト画面から「miniOrange 2-FAのコード入力欄」が消えてしまい、
「あれ? 再・有効化したはずなんだけどな?」と確認してみると、ちゃんと有効化の状態になっている・・・、
それなのに、「miniOのコード入力欄」は消えたまま・・・?
いろいろ検索しても解決策が見当たらず、「削除」→「再・インストール」しかないかも・・・と、ほとんど諦めかけていました。
しかし、インストール時に参考にさせていただいた「やりすぎさん」のことを思い出し、
「ひょっとして、やりすぎさんが何か有用な情報を書いてくれているかも」と確認したところ、
そのものズバリの解決策『停止するとログアウトされる』を書いてくださっていたわけです。
説明のとおりに「サインイン」→「アカウント情報入力」→「Submit」したら、すべて元どおりに復活しました!
ありがとうございます、マジで助かりました~!
今後もどんどん、やりすぎてください(笑)。
期待しています (^^)!
こんにちは( ・ω・)/
私はガッチガチに使ってから記事に書くタイプなので、こういった使わないと気づかない系には強いと自負しており、お役に立てて嬉しいです!
miniorangeのUIはコロコロ変わるから、もう古いだろうけど伝わってラッキー∩(・∀・∩
というか、今グーグルのアルゴリズムか何かでランキング死んでるのに、たどり着けたのもすごい!
こんにちは!やりすぎセキュリティさんのブログを見て質問なのですが、
・SiteGuardWPPlaginとXoセキュリティを入れているのですが一つに絞ったほうがいいでしょうか?
・ミニオレンジで登録するメルアドは
現在使っているメルアドでよろしいでしょうか?(エイリアスか新規作成ならどっちがいいとかありますか?)
再送させていただきます~
あれ(゚~゚o)
遠藤さん、XO Securityの方の記事で返答しましたので、そちらを参照してください!
承認待ちになってしまうと、すぐ反映されないのです……
XO Security