はじめに
ホームページ制作といえば、WordPressというイメージがある。今後、技術的需要も拡大していきそうだ。
WordPressは、世界で最も人気のあるCMSであり、世界のCMS市場で64.2%のシェアを獲得しています。また、WordPressを使用していないWebサイトを含めると、世界のウェブサイトの43.0%がWordPressを利用しています。
特に日本では、WordPressの支持率が非常に高く、2022年9月時点で国内のCMS市場全体の84.4%を占めています。
WordPressは2012年にはウェブサイト全体のシェアが15.8%でしたが、その後の10年間で急速に成長し、CMSの普及に大きく貢献してきました。
https://www.ailesys.co.jp/archives/10552#index_id0
ガッツリとプログラミングしないしなぁ・・・と個人的に避けていたが、記事の管理のしやすさや自分の技術分野の拡張を兼ねて勉強がてら触ってみることにした。今回は、「プラグイン」を使用して、セキュリティ対策を行なったので、その備忘録である。
使用したプラグインと機能
今回は、Wordfence Securityというプラグインを使用。以下3つの機能を入れてみる。
- reCAPTCHA(ロボットかどうかを調べるやつ)
- 2要素認証(Google Authenicatorを使ってリアルタイムでパスコードを発行)
- ログイン回数の制限(ブルートフォース攻撃の対策)
新規プラグインから検索をすれば出てくると思う。
設定(reCAPTCHA)
まずは、reCAPTCHA(ロボットかどうかを調べるやつ)から。
メニューの[ログインセキュリティ]から[設定]タブを選択。
下の方にいくと、reCAPTCHAの項目があるので、サイトキーとシークレットを入力する。
サイトキーとシークレットの設定の仕方は、[reCAPCHA管理ページ]をクリック。
Google reCAPCHAが開くので、ドメインの部分だけ設定しておく。
設定後にサイトキーとシークレットが表示されるので、それを入力する。
2024年6月5日追記
reCAPCHAが競合して、ログインできなくなることがあるみたい。実際になって焦った。プラグインディレクトリを一時的に無効にすれば解決した。
複数のプラグインを使ってGoogle reCAPTCHAが競合しログインが出来なくなるケースが過去報告されているので、もし既に導入している場合は先にそちらを無効化してから進めて下さい。
https://www.braveryk7.com/wordpress-google-recaptcha/
設定(2要素認証)
2要素認証タブをクリック。
ここからはスマホ操作。
「Google Authenicator」アプリをダウンロード。PCに表示されたQRコードをアプリで読み込んで、アプリで表示されている認証コード6桁をPCで入力すれば完了。
設定(ログイン回数の制限)
こちらに関しては、デフォルトですでに設定自体はされている。今回調節したのは、次の4つの項目。デフォルトはロックアウト回数がゆるいかも。きつめに設定した。
まとめ
Wordfence Securityでセキュリティ対策をした。認証機能を簡単に実装できるので、非常に楽だった。プラグインの研究してみようと思った。