このサイトは現在WordPressで管理されています.メジャーなアプリケーションなので攻撃も多いです.パスワードを少し長く二十数文字にしていますが少し不安.ということで多要素認証を使うことにしました.
一般的なTOTPとバックアップコードに対応しているものを探してみました.
TOTPで検索すると沢山出てきます.よく使われていそうなTwo-Factor を試してみます.
WordPressにログインした状態で,「サイトネットワーク管理者」→「プラグイン」でプラグインページに移動.
「新規追加」を押してプラグイン検索画面に遷移するのでキーワードに「TOTP」と入れて検索して「Two-Factor」を「今すぐインストール」ボタンで導入.導入が終わるとボタンが「ネットワークで有効化」になるのでこれも押して有効にします.
自サイトのPluginページで「Two Factor」が有効になっているのを確認,「ユーザー」→「あなたのプロフィール」の「Two-Factor 設定」でTOTPのコードを自分の利用しているアプリに登録してコードを登録して有効にします.TOTPの他にメールとバックアップコード(保存しておきます)も有効にしました.
別のブラウザでTOTPとメール,バックアップコードでログインできるのを確認.とりあえずOKそうです.
TOTPの計算にはoathtoolを使った自作scriptを利用しています.KEYは暗号化して実行時に一時的に復号しています.
$ oathtool --totp -b FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF 346419 $ 2auth-cli.sh blog Password: matoken@matoken.org/blog : 590604
パスワードのみよりは安心になったかな?
Note | 管理画面をlocalhostのみアクセス可能にしてポート転送にしてしまってもいいかな? |
環境
$ dpkg-query -W wordpress wordpress 5.0.15+dfsg1-0+deb10u1 $ lsb_release -dr Description: Debian GNU/Linux 10 (buster) Release: 10 $ arch x86_64