↓Value-Authとは↓

本人認証とは、ログイン時にSMS・メールで認証番号を送信し、 その番号によって本人であることを確認するサービスです。
この本人認証が、Value-Authでは0円で簡単に始められます。

Value-Authで本人認証を始めるまでの流れ

1. 申込会員登録
2. Value-Authのアカウント作成
3. Value-Authにログイン
4. APIキー発行
   1. APIキーはどこかにメモしておく
5. サイト登録
6. 以下のWordPressプラグインをインストール
   1. https://www.value-domain.com/security/value-auth/flow/#cms
7. WordPress プラグインの設定
   1. APIキー、認証コードを設定
   2. 2段階認証をONにする
   3. 電話番号かメールアドレスを設定する

Value-Authでの本人認証をWordPresに設定してみる

Step1　申込会員登録

以下のリンクから会員登録します。

Step2　Value-Authのアカウント作成

以下のメニューからアカウントを作成します。

Step3　Value-Authにログイン

アカウントを作成するとログインボタンが表示されますので、クリックしてログインします。

Step4　APIキー発行

Value-Authのログイン後の画面でAPIキーを発行し、発行されたAPIキーをメモしておきます。

APIキーはWordPress設定時に使用します。

Step5　サイト登録

Value-Authのログイン後の画面で、サイト名とホスト名を指定してサイト登録します。

これで、Value-Auth側の設定は完了です。残りはWordPressの設定です。

Step6　WordPressプラグインをインストール

以下のURLからWordPressプラグインをダウンロードします。

ご利用の流れ | Value-Auth（バリューオース）

Value-Authのご利用の流れページです。Value-Authは、SMSなど複数の本人認証を無料で導入でき、お客様のサービスやアプリへの設置も簡単なサービスです。

www.value-domain.com

ダウンロードしたプラグインをアップロードします。

↓プラグイン画面の新規プラグインを追加を押下↓

プラグインのアップロードボタンを押下すると↓アップロード画面↓が表示されます。

Step7　プラグインの設定

追加したプラグインの設定画面を開き以下を設定します。

1. 1. APIキー、認証コードを設定（Value-Authから発行される値）
   2. 2段階認証をONにする
   3. 電話番号かメールアドレスを設定する

動作確認

ログインすると、以下の画面が表示されます！

メールアドレスまたはSMSで通知された認証コードを入力すると、ログイン成功します！

まとめ

WordPressセキュリティ対策として、Value-Authを使用して、WordPress管理画面にログイン際に本人認証を追加してみました！

↓Value-Authはこちらから始められます！↓

WordPressはセキュリティ対策を取らないとリスクが高いと思っていますが、使いやすくて便利で優れたツールであるとも考えています。

要は「セキュリティ対応しておけばいい」です！

具体的にWordPressにどんなリスクがあるかについて見ていきます。

WordPressのセキュリティに弱いところ

• オープンソースである
  • 誰でもソースを確認でき、脆弱性を見つけた悪い人が悪用する可能性がある
• 使っている人が多い
  • 使っている人が多いため、狙われやすいです
    • 攻撃者もメジャーなものを狙ってくる
      • CMSにおいて世界シェアNo.1のユーザー数があるそうです
        • インターネット上に数多くの情報があります
• プラグイン
  • 不特定多数の人が作成しているため、セキュリティが不十分なものが多々ある
  • 誰でも野良プラグインを作成・公開できる
    • 野良プラグイン：WordPressに認証されていないプラグイン
      • ユーザは簡単に野良プラグインをインストールできる
        • インストールされたプラグインは、DBにアクセス可能な状態となり情報の改ざんや不正入手が可能
• 野良テーマ
  • 野良プラグインと同様のリスク
• 管理画面がインターネット上にある
  • 管理画面のログイン画面へは容易にたどり着ける
    • ログインIDとパスワードがわかってしまえば、サイトを乗っ取られる

WordPress本体と運用で使うプラグインやテーマにもセキュリティリスクが多く、狙われやすい感じです。標的にされたらと考えると怖いですね。

WordPressのメリットである以下の点と表裏一体な気がします。

• 使い勝手が良い
• 気軽に使い始められる

具体的にどんなリスクがあるか（どんな被害があるか）

•  不正アクセス
  • WordPressの管理画面やデータベースへ不正にアクセスする
    • 情報の改ざんや情報漏洩のリスク
    • WordPressの管理画面にアクセスされたらやりたい放題です
• サイト改ざん
  • サイトの情報を不正に改ざんされるリスク改ざんされ、訪問者を不正なサイトに転送するといったこともできてしまう
• 意図せぬ犯罪への加担
  • DDoS攻撃の踏み台にされるリスク
  • 不正メール送信の踏み台サーバにされるリスク
• 情報漏洩
  • Webサーバーに個人情報や機密情報などが存在する場合、それらが漏えいするリスク

対応策

対応策として以下の2つが考えられます。

①WordPressを最新の状態に保つなど、地道に頑張る方法

以下のような対応をすることでセキュリティを高めることができます。

•  WordPressを最新の状態に保つ
  • WordPress本体・プラグイン・テーマを最新に保つ
• 予測しにくいパスワードとユーザー名を設定する
• 不要なプラグインは削除する
• WAFを導入する
• プラグイン「All In One WP Security & Firewall」を入れる
• バックアップを取る
  • 定期的にバックアップを取ることで、ウェブサイトが攻撃を受けた場合でも、ウェブサイトのデータを復元することができます。

②WordPressコンテンツを静的ページ化して配信するという方法

次に紹介するのは、配信したいコンテンツをWordPressのプラグインStaticPressで静的ページとして出力し、静的ページのみを公開し(StaticPress S3でS3に転送して、S3+CloudFrontで公開)、WordPressは隠してしまう方法です。

具体的な構成は以下の記事で記載しています。

https://it.kensan.net/it/wordpress-serverless.html

localhost

WordPressの動いているEC2のセキュリティグループでIP制限をして、自分以外はEC2(WordPress)にアクセスできないようにしておきます。そうすることで例えばWordPressのID・パスワードを知っていてもアクセスできないくらいセキュアになります。

StaticPressで静的ページにすることでサイト表示のレスポンスが向上し、SEO的にも有利といったメリットもあります。

静的サイトじゃないよと言う場合は、動的な部分をJavaScriptでサーバ(API Gateway + Lambda)とやりとりするなどの改修が必要となり、なかなか大変そうですが、、、

静的サイトの場合は、上記構成で十分に安全に運用できると思います。

まとめ

WordPressを安全に快適に使おうの記事でした。