二段階認証、WordPressの管理画面にも必要か
パスワードだけでは、突破されることがある
二段階認証とは、ID・パスワードによる認証に加えて、スマートフォンアプリやSMSで受け取る確認コードなど、別の要素での認証を組み合わせる仕組みです。パスワードが漏洩したり、機械的な試行で突破されたりした場合でも、二つ目の要素がなければログインを完了させません。
銀行やSNS、クラウドサービスなどでは広く採用されている一方、自社のWordPress管理画面にはまだ設定していない、というケースは珍しくありません。
WordPressは標準では対応していない
WordPress本体には、標準機能として二段階認証は含まれていません。設定するには、専用のプラグインを追加する必要があります。この「追加の手間」が、導入が後回しにされやすい理由のひとつです。
管理画面のログインは、Webサイト全体への入り口です。ここが単純なパスワードだけで守られている状態は、他の対策をどれだけ整えていても、弱点として残り続けます。
導入のハードルは、思うより高くない
二段階認証というと設定が複雑に聞こえるかもしれませんが、多くのプラグインはスマートフォンの認証アプリと連携するだけで、比較的簡単に導入できます。日常のログイン作業に、コード入力という一手間が加わる程度の変化です。
管理者が複数人いる場合は、それぞれのアカウントに個別に設定できるかどうかも、導入時に確認しておくとよい点です。
二段階認証があっても、油断はできない
二段階認証を導入すれば、パスワード単体の突破に対する耐性は大きく上がります。ただし、これは「入り口を固める」対策であり、既に何らかの経路で侵入された場合や、脆弱性を突かれた場合までは防げません。
入り口の対策と、侵入後の変化に気づく仕組みは、役割が異なる別の対策として、どちらも用意しておく必要があります。
設定して終わりにしない
二段階認証を設定したあとも、管理者アカウントが増えたり減ったりするたびに、設定が正しく引き継がれているかを確認する必要があります。退職した担当者のアカウントが認証設定込みで放置されている、といった状態は、それ自体がリスクになります。
導入時だけでなく、運用の中で定期的に見直す対象として扱うことが望ましいです。
まずは管理画面から、確認してみる
自社で使っているWordPressの管理画面に、二段階認証が設定されているかどうかを、一度確認してみてください。設定されていない場合は、比較的取り組みやすい対策のひとつとして、優先的に検討する価値があります。
すでに設定している場合も、退職者のアカウント整理などとあわせて、たまに見直してみることをおすすめします。
ログインの異常も、Scanrollが見ています
詳しく見る →