WordPressを2段階認証にしてみた。

全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれているなんて記事がでている。

adminは昔までデフォルトであったユーザだし被害範囲は小さくはなさそう。
またそれがたちが悪いのが

今のところ約9万のIPアドレスが使われている。

IPアドレスで制限するのは限界超えているし・・・
LoginできるIPを縛ったら利便性が落ちるし(x_x)

悩ましいところだねぇ〜

ということでGoogle Authenticator for WordPressを入れて2段階認証をONにしてみる

2段階認証になると面倒だけどセキュリティを確保するためには必須かなぁ〜
GoogleやDropboxで2段階認証をONにしていてるからGoogle Authenticatorは普通に使っているからそれを利用

Google Authenticator App
カテゴリ: ユーティリティ
価格: 無料

設定項目はユーザの項目に「Google Authenticator Settings」とはいっています。
それを「Active」にしたらOK。
あとはShow/Hide QR codeでQRコードを発行してそれをアプリで読み取ればOK。

これでだいぶセキュリティは強化されたはず。

2013 04 15 10 02

ユーザ名、パスワード以外にGoogle Authenticator codeを入力する箇所が増えている。

MarsEdit等はEnable App passwordをONにしてながいパスワードが生成されるのでそれを利用したらOK。

あまりめんどくさいことはないから是非とも2段階認証とadminの削除を行うべきだと思う。

MarsEdit – the blog editor for WordPress, Tumblr, Blogger and more. App
カテゴリ: ソーシャルネットワーキング
価格: ¥3,450

あとセキュリティを考えて?行ったのは
ニックネームとユーザ名を別にする。
ニックネーム=ユーザ名だとユーザ名を教えているようなものだし・・これで攻撃されたら入られる可能性があがるし。

あとは何をやった方がいいのだろうか???