WordPressにSMS認証を導入するメリット・やり方

WordPress は世界で最も使用されている CMS です。そのぶん攻撃対象にされやすく、しっかりセキュリティ対策を行っていないと不正ログインなどの被害にあってしまいます。

万が一管理者権限を持つアカウントで不正ログインされてしまった場合、サーバー側で書き込み制限を行っていない限りテーマやプラグインを勝手に正規の方法で改ざんされてしまいます。

そこで役立つのがSMSを使った本人認証です。

不正ログイン対策の方法はたくさん用意されていますが、導入敷居が低い方法の中でもっともセキュリティが強力なのはSMS認証でしょう。SMS認証であれば、対応する電話番号を所有している方しかログインを通過できないので信頼性が極めて高いです。今回はそんなSMS認証のメリットや、WordPressにSMS認証を導入する方法を紹介します。

SMS認証のメリット

SMS認証の最大のメリットはログイン関係のセキュリティが大幅に強化されるということです。なぜセキュリティが超大幅に強化するのが気になると思いますので、どういうふうにセキュリティが強化されているのか解説します。

パスワードがバレても不正アクセスされない

メールアドレスやパスワードを複数のサービスで使いまわしている場合、どこかからそのメールアドレスやパスワードが流出してしまうことがあります。

メールアドレスやパスワードが流出してしまうとどれだけ複雑で長いパスワードを設定したとしても意味がありません。もちろんWordPressも例外ではありません。ですがSMS認証を導入した場合、メールアドレス・パスワード認証を通過したあとに求められうSMS認証も一発で通過しないといけないため、対応した電話番号を持たない不正アクセス者にとって不正ログインは実質不可能です。

SMS認証はワンタイムパスワード方式が採用されており、一回使われたパスワードは使用不可、パスワードに有効期限があるという特徴があります。そのためSMS認証用のパスワードを特定することは不可能に等しいです

電話番号がバレても問題ない

SMS認証では電話番号を使いますが、仮に電話番号がばれたとしても問題ありません。SMSを受け取れるのは電話番号を使用できるSIMカードが挿入されたケータイ・スマートフォンを所有している方だけであるため、電話番号がばれたところで特に影響はないのです。

つまりWordPressにSMS認証を実装することで、

  • メールアドレスやパスワードがバレてもSMS認証に引っかかって不正ログインに失敗する
  • SMS認証で使われている電話番号が漏れても不正ログインしようとする相手はSMSを受け取れないから意味がない

ということになり、メールアドレス・パスワード・電話番号全て流出してもWordPressに不正ログインされないということになります。

これがSMS認証が不正ログイン対策においてとても強力である理由でしょう。

生体認証よりもコストが低い

一番セキュリティが高いのは虹彩認証や指紋認証といった生体認証ですが、生体認証は技術的に難しい関係でコストが非常に高いです。少なくともWordPressに手軽に導入できる代物ではないでしょう。

ですがSMS認証は一段階下の所有物認証(認証に必要なデバイスを持っている人しか認証できない)であるため、コストが低くなおかつセキュリティが高いという特徴があります。

先ほども言った通り、生体認証に劣るとは言っても、メールアドレス・パスワード・電話番号全て流出したとしても、電話番号を使えるデバイスさえなければ不正ログインされないためかなり強力です。

WordPressにSMS認証を導入する方法

SMS認証を導入する現実的な方法は大きく分けて2つです。

Value-authを使う

Value-authという本人認証サービスを使えば簡単に SMS 認証を導入することができます。

Value-authとはGMOが提供している本人認証サービスで0円から始めることができます。SMS認証にかかる費用は従量課金となっており、SMS1通につき7.5円しかかかりません。管理画面へのログイン作業は頻繁に行うことではないためセキュリティ対策にかかる費用としては最安級でしょう。

メール認証にも対応しており、メール認証であれば0.09円から利用できます。

 SMS認証メール認証
初期費用0円0円
月額基本料0円0円
1通あたりの料金7.5円~0.09円~
無料利用枠初月10通100通

専用のWordPressプラグインが用意されているのも特徴のひとつです。WordPress製サイトであればValue-auth関係の開発を一切することなく、SMS認証を導入できます。

初月10回分のSMSが無料枠として用意されているので、SMS認証でどれくらいセキュリティが高くなるのか実感したい方は試してみることをおすすめします。

記事の後半でWordPressにValue-authを導入する方法も解説しています。

外注する

独自の SMS 認証システムを構築したい場合は外注してしまいましょう。ですが、新規開発になるためコストは極めて高いです。数万円で片付く案件ではないでしょう。セキュリティーを重点的に固めて行かなければならないため、開発費は用数百万円に及ぶ可能性があります。

選択肢の一つではありますが決しておすすめできる方法ではありません。

Value-authを使ってWordPressにSMS認証を実装する

WordPressを使うのであれば、先ほど紹介したValue-authが一番おすすめです。時間も費用もかかりません。そこでここからは実際にWordPressにValue-authを導入する方法について紹介します。

Value-authアカウント登録方法

  1. STEP

    公式サイトにアクセス

    まずはValue-auth公式サイトにアクセスしましょう。

    公式サイトにアクセスしたら[無料で始める]をクリックします。

    ユーザー名・パスワード・メールアドレスを入力してアカウントを作成します。

    アカウントを作成したら支払い方法の選択画面が表示されますが、ここはサーバー・ドメイン関係の設定なので一旦スキップしましょう。

  2. STEP

    ユーザー情報を入力

    「ドメインの購入に必要なユーザー情報の登録を行います」と書かれていますが、Value-authでアカウントを利用するので気にせずユーザー情報を入力してください。

    さいごに [ユーザー登録する]をクリックしてアカウント登録を完了します。

    ドメイン・サーバーは購入しないので「自動更新設定」はそのまま無視してもらって問題ありません

  3. STEP

    メールアドレス認証

    アカウントを作成したら[コントロールパネルTOPへ]をクリックしてコントロールパネルにアクセスします。

    認証コード入力画面が表示されますが、ここで入力する認証コードはアカウント作成時に送られたメールアドレス宛に送られています。

    これでValue-authを利用する前準備が完了しました。

  4. STEP

    Value-authを利用登録する

    VALUE-DOMAINアカウントの準備が完了したら、以下のValue-Authアカウントの管理・登録ページにアクセスします。

    [Value-Authの新規アカウントを作成]をクリック

    アカウント名・メールアドレスを確認して[アカウントを登録する]をクリックします。

    [戻るにはここをクリック]をクリック

    Value-Authアカウントが作成されているのが確認できたはずです。それと同時にValue-Authのアカウント名・メールアドレス・パスワードが記載されたメールが送られてきます。

    確認できたらValue-authの[ログイン]をクリックしてValue-Authにログインしてみましょう。

    Value-authログイン画面が表示されますのでログインしましょう。

    ここで入力するログインパスワードはValue-authアカウント作成時にメールで送られています。

    管理画面にアクセスできたらValue-authの利用準備完了です。

WordPressにValue-authを設定する

Value-authの利用準備が整ったらあとはカンタンです。順番に進めていきましょう。

  1. STEP

    APIキーの新規作成

    WordPressのSMS認証で使うAPIキーを発行します。「API認証キーを作成してください」をクリックしてください。

    [APIキーの作成]をクリックします。

    サービス名は何でも構いません。サイト名やドメイン名などを設定するといいでしょう。

    APIキーが表示されます。APIキーが表示されるのはこのときだけであり、後で表示させることはできないので注意してください(忘れた場合は再作成が必要です)。

    表示されたAPIキーをメモ帳などにメモしておく
  2. STEP

    サイトを登録する

    Value-Authを利用するドメインを登録します。登録されたドメインでのみ利用できるため万が一APIキーが流出しても被害を防げます。

    Value-Authダッシュボードに戻り、「Value-Authを使用するサイトを登録してください」をクリックします。

    サイト名とドメインをそれぞれ入力します。

    サイト名は自由に設定して大丈夫です

    「認証設定」の[二段階認証]にある[表示]をクリック

    表示された認証コードをメモ帳などに控えておいてください。

    これでValue-Auth側の事前準備完了です。

  3. STEP

    WordPressプラグインを導入

    Value-auth用のWordPressプラグインをダウンロードしましょう。

    プラグインをダウンロードしたらWordPressにzipファイルのままアップロードします。解凍してからアップロードすると上手くいかないので注意してください。

    アップロード完了後、Value-Authプラグインを有効化します。

  4. STEP

    Value-Authの設定

    左メニューに追加されている[2段階認証]をクリック

    [ON]をクリックして2段階認証を有効化します。

    先ほどメモしたValue-AuthのAPIキーと認証コードをを入力して登録します。

    メール認証・SMS認証の項目がそれぞれ表示されたらAPIキー・認証コードを正しく入力できています。

  5. STEP

    SMS認証用電話番号を追加する

    「SMS認証」の欄にSMS認証に使用する電話番号を登録します。

    電話番号を追加したらシークレットブラウザなどでWordPressにログインしてみましょう。

    ダッシュボードへのアクセスはできますが、2段階認証コードを入力するまで一切の操作ができない状態になっているはずです。

    それと同時に登録した電話番号宛に認証コードが送信されてきますので、その認証コードを入力しましょう。

    正しく認証コードを入力できたらいつもどおりダッシュボードが表示されて、記事の作成など各種操作を行えます。

    認証コードを晒していますが、SMS認証の認証コードは時間制限付きかつ一回しか使えないワンタイムパスワードであるため、上記認証コードはもう使えません。これもSMS認証のセキュリティが優れている理由の一つです

    これでValue-Authを用いてSMS認証をWordPressに導入できました。これだけでかなりセキュリティが強化されたはずです。

Value-authのQ&A

SMS認証できなくなった場合は?

SMS認証ができないということは WordPress にログインできないということです。もし電話番号を変更したなどの理由でSMS認証手段を失った場合は、Value-auth管理画面から無効化することができます。

もう一つの方法は強引な方法ですが、サーバーにFTP・SSH接続できる場合はValue-authのプラグインフォルダをまるごと削除する方法もあります。好きな方法をとりましょう。

SMS認証で使える電話番号は?

SMS認証で使える電話番号は「090」「080」「070」から始まる電話番号のみです。「050」から始まるIP電話や海外の電話番号・市外局番から始まる固定電話などはもともとSMSに対応していないのので利用できません。

コスパ最強のSMS認証でセキュリティを強化しよう

Value-authはWordPressに対応しているので導入コストが極めて低いです。やろうと思えば個人でも導入できるでしょう。

それに即日SMS認証を始められるので、セキュリティに不安があってすぐにでも不正ログイン対策を強化したいというときでも安心です。

こちらの記事も読まれています

カテゴリー: