Google Authenticatorの使い方【二段階認証アプリ】
Google Authenticatorは認証コードを生成するアプリです。二段階認証時のコード生成に使用します。Google Authenticatorの使い方・アカウントの移行方法・バックアップ方法を解説します。二段階認証はハッキングに対して非常に強力な防御手段になります。
近年の世界情勢の不安定化に伴い、世界各国にサイバー攻撃の脅威が広がっています。
日本も例外ではありません。
WordPressサイトを運営している人にとってセキュリティ強化は喫緊の課題になっています。
自分のサイトは自分で守りましょう。
この記事では、エックスサーバーのアカウントとサイトのセキュリティを格段に強化して、ハッキング・マルウェア・フィッシング詐欺等のサイバー攻撃から守る方法を紹介します。
- 二段階認証を導入する
- WordPressのログインパスワードを超強力にする
- 国外IPアドレスからのSMTP認証を制限する
エックスサーバーに二段階認証を導入する
エックスサーバーアカウントを守るための「二段階認証」について解説します。
二段階認証とは、エックスサーバーの「サーバーパネル」へのログイン時に、通常のパスワードに加えてワンタイムパスワードの追加入力を要求する機能です。
二段階認証はサイバー攻撃全般に対して非常に有効な防御手段になります。
2段階認証を行うには認証コード生成アプリ(Google Authenticatorなど)が必要です。
二段階認証の設定方法
エックスサーバーアカウントの二段階認証を設定するには、アカウントにログインします。
画面右上、サービス一覧の横にあるアカウントメニューから登録情報確認・編集をクリックします。
二段階認証 > 設定変更を押して二段階認証の設定画面を開きます。
設定するにチェックを入れて設定を変更するで保存すると、次のページに遷移します。
認証アプリの設定(アカウント登録)
続いて認証アプリの設定を行います。
QRコードを表示をクリックしてください。
QRコードが表示されるので認証アプリを起動して読み込みます。シークレットキーは手動登録するときのみ使ってください。
登録が完了すると認証コードが表示されます。
6桁の認証コードを入力して認証をクリックします。
完了するとバックアップコードが表示されます。
バックアップコードは、端末の紛失等により二段階認証が使えなくなったときの保険です。絶対に失わないように保管してください。
バックアップコードとは、
認証コード生成アプリ(GoogleAuthenticatorなど)から認証コードが取得不可能になった場合、二段階認証を強制的に解除してログインするために必要となります。
二段階認証が有効になるとログイン時に追加で認証コードが要求されます。認証アプリに表示される6桁のコードを入力してログインしてください。
二段階認証でログインできないとき
二段階認証が使えないときはバックアップコードを使ってログインします。
バックアップコードでログインすると二段階認証は解除されます。
サーバーパネルの二段階認証を設定する
サーバーパネルとXserverアカウントの画面は別になっています。二段階認証は個別に設定する必要があります。
サーバーパネルの二段階認証を設定するには、サーバーパネルへログインします。
アカウント > 二段階認証設定
設定手順はサーバーパネルの二段階認証とほとんど同じです。
二段階認証のメリットとデメリット
二段階認証のメリットはサイトのセキュリティを大幅に強化できることです。
パスワードは確かに重要です。強力なパスワードを設定すれば、パスワードを破られるのはほぼ不可能になります。
しかし、パスワードが盗まれる可能性も考えなければなりません。フィッシング詐欺がその例です。
二段階認証を利用していれば、例えパスワードが盗まれても不正アクセスを防ぐことができます。
一方で、デメリットも存在します。
一番大きなデメリットは、認証アプリが入った端末を紛失するとログインできなくなることです。機種変更時に移行作業が発生するのも手間がかかります。
- 認証アプリが入った端末を紛失するとログインできなくなる
- 機種変更時に認証アプリの移行作業が発生する
- ログイン時の手間が増える
エックスサーバーの場合は「バックアップコード」を利用することで、認証コード生成アプリが使えなくなった場合でも対応できます。
二段階認証は強力ですが、自分が嵌ってしまう危険性もあります。メリットとデメリットをよく理解した上で利用してください。
WordPressのログインパスワードを強力にする
パスワードはWordPressで最も重要なセキュリティです。
エックスサーバーによると、wlwmanifest.xmlへの不審なアクセスが急増しているそうです。
wlwmanifest.xmlはWordPressの設定ファイルの1つです。ログインIDが取得されます。(これに関して、すでにサーバー側で国外からのアクセスが制限されてるので心配する必要はありません)
しかし、ログインID(ユーザー名)を取得する方法は他にもあります。
基本的にWordPressのログインIDは攻撃者に知られていると考えましょう。
サイトには非常に強力なパスワードを設定するべきです。
- 20文字以上
- アルファベット大文字と小文字を併用する
- 数字を使う
- 記号を使う
大文字・小文字・数字・記号すべて組み合わせたパスワードが理想です。WordPress.orgでは20文字以上のパスワードが推奨されています。
WordPressのパスワード変更はとても簡単です。
ユーザー > プロフィール > 新しいパスワード
新しいパスワードを入力してプロフィールを更新を押すと変更されます。
自分の生年月日やペットの名前など推測されやすい文字列をパスワードに使うのは絶対にやめてください。総当たり攻撃で簡単に突破されます。パスワードの使い回しも非常に危険です。
そもそもパスワードは覚えるものではありません。
パスワードの管理にはパスワードマネージャーを使うことをおすすめします。超強力なパスワードを簡単に扱えるようになります。
国外IPアドレスからのSMTP認証を制限する
国外IPアドレスからのSMTP認証(SMTP AUTH)を制限します。これはメールアカウントの不正利用に対する対抗策になります。
サーバーパネルにログインします。
メール > SMTP認証の国外アクセス制限設定
ONにする(推奨)にチェックが入っているか確認してください。
この機能は公式で強く推奨されています。国外から使う場合を除いてOFFにはしないでください。
不審なメールに十分注意する(Emotet等のマルウェア対策)
最近では再び「Emotet」が流行しているようです。
Emotetはメールを介して感染拡大する非常に危険なマルウェアです。攻撃者からのメールに添付されるExcelやWordファイルを開くと感染します。
最近感染が急拡大しているようなので、不審なメールに添付されているファイルは絶対に開かないようにしてください。
