【SSS】WordPressの2段階認証プラグインはminiOrangeが優勝

miniOrange

総当たり攻撃(ブルートフォースアタック)に対して絶大な効果を発揮し、既存のパスワードを64桁になりえるレベルにまで底上げできる2段階認証。

そのなかでプラグイン開発をやめないレベルの更新頻度かつ、インストール数も多い「miniOrangeの2段階認証」は、設定するだけでログインを過剰防衛できる。

ミスしないかぎり起こらないが、念のためのログインできない場合の対策方法(フォルダ名を変えるだけ)も一緒に説明していく。

2段階認証プラグインは複数存在するため、「なぜminiOrangeなのか」も述べているぞ。

追記:2019年8月30日

Wordfence(ワードフェンス)の2段階認証が無料になっていた。当サイトはminiOrangeと同時に紹介していたため、Wordfenceをお使いの方はプラグインを1つ減らせるし、Wordfenceに乗り換えを推奨する。

スポンサーリンク

2段階認証とは

一般的にはアカウント情報の他に「30秒しか使えない6桁のコードを入力させる認証」を増やす。

仮にパソコンが盗まれても「2段階認証ワンタイムパスワードを確認できるアプリ」がスマホにしかないので、「両方盗まないと不正アクセスできない」といったセキュリティ向上の恩恵を受けられる。

WordPressはセキュリティが弱いサイトを適当に攻撃し、侵入できたらグチャグチャにして「私がやりました!」と技術力の誇示をするような場なので、これをするだけでログイン防御はほとんど完了だ。

当サイトでは2段階認証アプリも紹介しているので、使用していなければ一度確認されたし。

ここでは説明しないが、同じminiOrange製品にSMS・メールでの2段階認証をできるプラグインはあるので、何らかの理由でアプリを使用できないなら検討してみるといい。

プラグインEmail Verification / SMS verification / Mobile Verification

なぜminiOrangeなのか

他にも2段階認証プラグインはあり、日本では「Google Authenticatorプラグイン」が紹介されている。

プラグイン比較

見てのとおり、この画像の時点で2年間更新されていない。インストール数がminiOrangeより多いので、引き続き使っている人も多いことだろう。

そして、miniOrangeは会社のようなのでガンガン更新される。

公式サイトminiOrange Secure It Right : Identity and Access Management Solutionにアクセスするとわかるが、認証系のサービスを取り扱っているようだ。

ということで、まだ「Google Authenticatorプラグイン」を使用していたら同じく無料のこちらに乗り換えることを勧める。

ただし、miniOrangeはアカウント作成必須なので、信用している前提で進めるぞ。

スポンサーリンク

プラグインを追加

①「プラグイン」にカーソルを合わせる → ②「新規追加」。

プラグイン新規追加

③検索に「miniOrange 2 Factor Authentication」と入れる → ④「Google Authenticator – WordPress Two Factor Authentication (2FA)」をインストール。

インストール

有効化後、設定の下に「miniOrange 2-Factor」が追加されるのでクリックすると、「Privacy Policy(プライバシーポリシー)変更したよー」的な表示がでてくるので「Okay」をクリック。

miniOrangeを選択
ポリシーをOK

アカウント作成

miniOrangeの認証システムを使うためアカウントは必須。

WordPressのメールアドレスが入っているがもちろん捨てアドレスでいいし、できれば「WordPressログインとは何の関係もないメールアドレス・パスワードを設定」しよう。

アカウント作成

登録するとメールがくるので、そこに記載された6桁のコードをコピー。

届いていなければ迷惑メールフォルダを確認。
コードをコピー

コピーした6桁のコードを「Enter OTP」に入力して「Validate OTP(ワンタイムパスワードを検証する)」をクリック。

おそらく「Validate OTP(ワンタイムパスワードを検証する)」をクリックしても反応しない。これはminiOrangeあるあるなので、番号にカーソルを合わせEnterキーを押そう。
アカウント認証

完了するとセットアップが始まるが、英語で解説されても意味がわからないので「Skip Setup」をクリック。

セットアップをスキップ

上の方に「まだ2段階認証を設定していないよ」表示が出現。

早く設定してね表示がでる

2段階認証設定

私はしないが、仕方なくバックアップをしておこう。

「Setup Two-Factor(2段階認証設定)」タブをクリックし、Authentication methods(認証方法)の「Google Authenticator」を選択。

Google Authenticatorを選ぶ

スマホの種類選択画面が出現し、iPhoneを持っていないためここではAndroidで進めていく。

スマホのタイプを選択

自動で画面が切り替わり、先に①「Can’t scan the barcode?(バーコードがスキャンできない?)」をクリックしてシークレットキーを保存 → ②アプリの読み取りモードで「スキャン」→ ③表示された「6桁のコード」を入力 → ④「Verify and Save(確認して保存)」。

2段階認証設定
シークレットキーを保存

スキャンできない場合、各アプリの手動入力機能の場所は以下のとおり。

  • Google 認証システム:「+」→「セットアップキーを入力」
  • IIJ SmartKey:QRコード読み取り中に右上のキーボードマーク
  • Authy:Add account表示下の「ENTER KEY MANUALLY」
シークレットキーは端末を紛失した際、新しい端末にこの文字列を入れるだけで復旧できるので、最後に紹介する暗号化される都合の良い場所に保存しよう。

これでログイン時に認証を求められるようになったが、念のため確認しにいく。

2段階認証設定完了画面

ログイン画面のカスタマイズ・確認

ログイン画面に向かうが、その前に2種類ある2段階認証入力フォームを選択しよう。

「Setup Two-Factor」タブにある「Enable 2FA prompt on the WP Login Page」まで進む。

チェックのありか

チェック「有り」と「なし」の動作は以下の画像を参照。

チェック有り ログイン画面に1つ認証が増える
チェックなし 一見普通だが
ログインした後に認証を求められる

わざと悟らせて「2段階認証付きかよ! やーめた!」となる利点か、「ログインフォーム画面にまで侵入された際に2段階認証を設定していると悟られない」利点のどちらかを選ぼう。

基本は試行させる前に諦めさせたいので、「チェック有り」が良い。

チェック有りには「Skip the authentication code if it doesn’t apply(認証コードがわからない場合はスキップ)」と書いてあるが、意味不明なので無視。

これでログインできれば成功している。

スポンサーリンク

ログインできなくなった際の無効化

セキュリティ系プラグインすべてに言えることだが、ログインできなくなったらこの方法をやってみよう。

FTPソフトかサーバーからファイルマネージャーに侵入し、「一時的に」フォルダ名を変更しよう。

public_html/自分のサイト名/wp-content/pluginsの「miniorange-2-factor-authentication」フォルダの頭か後ろにハイフン(-)でもつけておこう。

これで無効化され、ログインしたらフォルダ名を戻して「有効化」、再度設定をしなおすだけだ。

スポンサーリンク

停止するとログアウトされる

プラグインを停止すると、miniOrangeからログアウトされてしまい「2段階認証が発動していない状態」になる。

「プラグインを停止してそのまま」というよくあるミスなので、忘れないようにしておこう。

「ログインできなくなった際の無効化」の章で停止状態になっていたが、正規ルートではないのでログアウトはされない。

「Account Setup(アカウント設定)」タブの「SIGN IN(サインイン:ログイン)」をクリック。

サインインする

アカウント情報を入力するように言われるので入力しよう。

持っているアカウント情報を入力

これでアカウントと設定が呼び出され、自分の情報が表示されたはずだ。

アカウントの呼び出しに成功

もちろん設定した2段階認証設定も呼び戻せている。

スポンサーリンク

2段階認証を使用した超次元コンボ

ログイン系セキュリティプラグインのXO Securityに付属している機能に、「失敗時の応答遅延」という珍しい機能が付いている。

この機能は、「ワンタイムパスワードの制限時間(約30秒)」と非常に相性がよく、失敗するたび時間が足りなくなるコンボが使える。

これにより、ログインが超次元の存在へ。

スポンサーリンク

セキュリティを高める

WordPressユーザーは収入に直結するため、義務レベルでしておいたほうが良い。

セキュリティプラグインは決めづらいが、当サイトの知識を流用して、究極の組み合わせを試してみてはいかがだろうか。

とてつもない、他のサイトではありえない異次元のセキュリティを手に入れるといい。

2段階認証設定で「バックアップコードやシークレットキーの保存場所」に迷っているなら、メモも暗号化されるパスワード管理ソフトを導入しよう。もちろん無料だ。

当サイトはパスワード管理ソフトの紹介に自信を持っているどころか「ガチ勢」なので、是非一読されたし。

カフェや移動中など、有料の暗号化された共有Wi-Fiでも盗聴される可能性があるのでこちらも要確認。

コメント

  1. 匿名 より:

    さっきこのプラグインをインストールしてみたところ
    miniOrangeのアカウントを作ることなくTOTPでの2FAが使えました。

    プラグインのインストール→有効化→2FAの方法を選択 にて
    SMS認証使うときは登録が必要
    的な感じでした。

  2. シン より:

    こんにちは。
    「【SSS】WordPressの2段階認証プラグインはminiOrangeが優勝」の記事を読ませて頂きました。
    一つ教えて頂きたいのですが、複数のスマホで利用することは可能でしょうか?

    ワードプレスで通販サイトを運営してるのですが、管理者が2人いるため、
    ログインするときにそれぞれのスマホで2段階認証ができたらと思います。

    QRコードをスマホで読み取るときに、複数の機種で読み込めばそれぞれで
    2段階認証のコードを受取ることができるのか、ご存知でしたら教えてください。
    よろしくお願い致します。

    • ぷっぷ より:

      だいぶ前から別の有料セキュリティプラグインに付属している2段階認証に乗り換えて現在のミニオレンジはよくわからないのですが(すっごいデザイン変わってるし!)、どうやら機能としてはあるようです。
      参考やりすぎストレージ
      ロール=役目に基づいて2段階認証設定だと思うので、おそらく「管理者権限」を持っている3人までが無料、管理者権限以外にも適用させる場合は有料の模様。
      参考Two factor authentication | Enable Two factor based on roles
      複数人関係は大体「お金を払ってくれるユーザー」だと世界的にバレているので、足元見られます( Ꙭ)

      • シン より:

        ぷっぷさん、返信ありがとうございます。
        他のプラグインでも構わないのですが、複数人管理でおすすめの
        Wordpress2段階認証はありますか?
        有料版でも大丈夫です。よろしくお願い致します。

  3. ぺるぺる より:

    こんにちは!
    やりすぎセキュリティさんのおかげで助かりました!
    先ほどWordPressを更新するため miniOrange 2-FAなどプラグインをすべて停止しました。
    更新完了後、停止したプラグインをすべて再・有効化したのですが、ダッシュボードへのログイン画面、ログアウト画面から「miniOrange 2-FAのコード入力欄」が消えてしまい、
    「あれ? 再・有効化したはずなんだけどな?」と確認してみると、ちゃんと有効化の状態になっている・・・、
    それなのに、「miniOのコード入力欄」は消えたまま・・・?
    いろいろ検索しても解決策が見当たらず、「削除」→「再・インストール」しかないかも・・・と、ほとんど諦めかけていました。
    しかし、インストール時に参考にさせていただいた「やりすぎさん」のことを思い出し、
    「ひょっとして、やりすぎさんが何か有用な情報を書いてくれているかも」と確認したところ、
    そのものズバリの解決策『停止するとログアウトされる』を書いてくださっていたわけです。
    説明のとおりに「サインイン」→「アカウント情報入力」→「Submit」したら、すべて元どおりに復活しました!
    ありがとうございます、マジで助かりました~!
    今後もどんどん、やりすぎてください(笑)。
    期待しています (^^)!

    • ぷっぷ より:

      こんにちは( ・ω・)/
      私はガッチガチに使ってから記事に書くタイプなので、こういった使わないと気づかない系には強いと自負しており、お役に立てて嬉しいです!
      miniorangeのUIはコロコロ変わるから、もう古いだろうけど伝わってラッキー∩(・∀・∩

      というか、今グーグルのアルゴリズムか何かでランキング死んでるのに、たどり着けたのもすごい!

  4. 遠藤 より:

    こんにちは!やりすぎセキュリティさんのブログを見て質問なのですが、
    ・SiteGuardWPPlaginとXoセキュリティを入れているのですが一つに絞ったほうがいいでしょうか?

    ・ミニオレンジで登録するメルアドは
    現在使っているメルアドでよろしいでしょうか?(エイリアスか新規作成ならどっちがいいとかありますか?)

    再送させていただきます~

    • ぷっぷ より:

      あれ(゚~゚o)
      遠藤さん、XO Securityの方の記事で返答しましたので、そちらを参照してください!
      承認待ちになってしまうと、すぐ反映されないのです……
      XO Security