ログイン時に「秘密の質問と回答」を追加できるプラグイン「WP Security Question」
公開日:2017年1月25日 セキュリティ
WordPressで作っているサイトで行うセキュリティといえば、不正ログイン対策ですね。WordPressはいろいろな人が使っているCMSですから当然ログインURLもバレバレ。
ログイン画面が出たらあとは「ユーザー名」と「パスワード」による防御が標準のセキュリティ機能。
でも・・・ユーザー名はサイトのいろいろなところで表示されてしまったりしているのをご存じですか?ここでは「どこに?」というのは紹介しませんが
の中で詳しく説明してますから興味のある方は読んでくださいね。
それはさておき、皆さんはこの不正ログインに関してどんな対策してますか?無策?あまり気にしていない?いやいや、ログイン履歴を記録できる
というプラグインを使ってみてみると、対策なしの場合は実にいろいろとログインしようとした形跡が出てきます。中にはユーザー名が完全にバレていて、パスワード違いで弾いてくれたというものも多数。もはやユーザー名は簡単に分かってしまうという事実があります。
ではどうやって対策を??で使えるのが今回紹介する「WP Security Question」プラグインです。
「WP Security Question」は銀行などの金融機関などでよくある「秘密の質問と回答」がログイン画面の認証項目として設定できるプラグインです。よくある外部のapiなどを使用せずに処理できるので、apiが使えなくなって機能しないということもありません。
冒頭で紹介した記事のようにいろいろな方法で不正ログイン対策を行うのが理想ですので、このプラグインも対策方法の1つとしてインストールしてはいかがでしょうか??
「WP Security Question」のいいところは、複数の質問から1つを選んで回答を登録しておき、実際のログイン画面ではたくさんの質問からまず質問を選び、回答するという2重のセキュリティが行えること。まず質問が何かが分からないと不正解になるし、質問が合っていても答えが違えばそれもまた不正解となりログインできないという高いセキュリティが確保できます。
【WP Security Question】プラグインの基本的な機能・できること
- ログイン画面に「秘密の質問と回答」によるセキュリティ項目を追加する
- ユーザー登録画面に「秘密の質問と回答」によるセキュリティ項目の設定を追加する
- パスワード再発行画面に「秘密の質問と回答」によるセキュリティ項目を追加する
この記事を参考にプラグインの導入をする際以下に留意ください
このプラグイン紹介記事は簡易的に動作テストをした上で紹介していますが以下の点にご注意願います
- すべての環境で動作するとは限りません
- できる限り最新のバージョンの情報を紹介するようにしておりますが、閲覧される時期によってはバージョンが変わり、仕様が大きく変更されている場合があります
- 有料版と無料版がある場合、テストは原則無料版のみで実施しています
- テスト環境については本文中に記載しています
- 使用方法で紹介しているショートコードやコードなどをコピーして使用すると、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「"」「'」などの記号を入力し直してみてください。
【WP Security Question】プラグインの設定画面や表示の日本語化と翻訳
当サイトで私が翻訳した【WP Security Question】プラグインの日本語化ファイルを配布しています。
翻訳ファイルは
からダウンロードできます(ダウンロードの方法や日本語の適用方法なども解説しています)
翻訳することで設定が容易になり、重要な項目の設定漏れも少なくなりますから日本語化をお勧めします。
【WP Security Question】プラグインのインストールと設定
インストール方法
インストールはプラグインの新規追加でプラグイン名を入力して検索してインストールするか、ページ先頭の画像をクリックして表示されるWordPressのプラグイン公式配布ページがダウンロード後、管理画面からアップロードインストールしてください。
WordPressを使い始めて間もない方(初心者の方)は、より詳細なプラグインのインストール手順や、インストール時に起こる問題などへの対処方法をまとめた
も併せてご覧ください。
【WP Security Question】プラグインの基本的な使い方
設定はダッシュボードから「プラグイン」→「WP Security Question」の設定をクリックして行います
設定する項目は
- 質問の内容(複数指定するとセキュリティが向上します)
- ログイン画面に「秘密の質問と回答」によるセキュリティ項目を追加するか
- ユーザー登録画面に「秘密の質問と回答」によるセキュリティ項目の設定を追加するか
- パスワード再発行画面に「秘密の質問と回答」によるセキュリティ項目を追加するか
です。複数の質問選択肢を用意することで、前述したように認証時に選ぶ質問の選択肢が増え、より設定されている質問が分からなくなるためセキュリティが向上します。
設定を行い、実際に使用するにはユーザーごとに質問と回答を設定していく必要があります。これを行わないと質問も回答も確定されていないため、例えばログイン画面にこのプラグインの認証窓は追加されるもののそのままログインすることができてしまいます(ダミーとして使うならこれでもいいかも・・・)。
ユーザーごとの設定はダッシュボードの「ユーザー」から行います。1つ1つの登録ユーザーに対して「編集」をクリックし、新たに追加された質問と回答の項目を設定していきます。
ユーザー登録を受け付けるサイトでこのプラグインを使う場合には、「ユーザー登録画面に「秘密の質問と回答」によるセキュリティ項目の設定を追加するか」の項目を必ずONにしておかないとセキュリティが働きませんし、後から設定しようと思うと作業が大変になります。
【WP Security Question】プラグインの便利な使い方・カスタマイズ方法など
より便利に使うカスタマイズ技やテストサイトで使用した結果や感想、WordPressのプラグイン公式配布ページには書かれていない事柄などを紹介します。
自分自身がログインできなくなったときは
ちょっと意地悪なテストをしてみました。もしも自身が秘密の質問や回答を忘れてログインできなくなったら・・・というテストです。セキュリティとしては当然管理者である自身でも行うわけですからこういうケースもあるのでは?と思います。
テストとしては、上の使用方法の通り質問と回答を設定しておき、ログイン画面で有効にした状態にした状態から、いきなりFTPでプラグインのフォルダを削除したらどうなるかというもの。テストサイトだからできるテストですね。
結果は・・・きちんとプラグインによる認証が破棄され、通常のユーザー名とパスワードでログインできました。当然といえば当然ですが、なかなか実際のサイトでは試しに・・・なんてことできませんからね。プラグインの安全性が確認できた訳です。
あくまでも私が使っているテストサイトでの結果ですからすべての環境でOKとは言い切れませんのであしからず。
WordPressのカスタマイズ・不具合対応などご相談ください
Wordpressのカスタマイズ、不具合解消のご相談はすべてココナラ
のダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。
【スポンサーリンク】