未来が向かうまったく新しい領域である WordPress のパスワードレス ログインを探ってみましょう。
近い将来、パスワードは廃止されるでしょう。これらはセキュリティを強化することを目的としていましたが、最終的には解決策よりも多くの問題を引き起こすことになりました。
それは強力なパスワードから始まり、次に 2 要素認証が続き、誰も扱いたくない余分なクリック (読み取り作業) が追加されました。
最近登場した、マジック リンクと呼ばれる別の解決策があります。これにより、パスワードを入力する代わりに、ユーザー名を入力して電子メールからリンクを開くことができます。
電子メール アカウントを保護するだけで済み、他の場所でもそのセキュリティを活用できるため安全ではありますが、最速の方法ではありません。
WordPress パスワードなしログイン
WordPress は平均的なインターネット ユーザーにとって使いやすいものですが、このシンプルさにはセキュリティ リスクの増大が伴います。 iThemes Security を使用すると強力なパスワードを義務付けることができますが、その目的は、安全でありながら簡単にパスワードを設定できるようにすることです。
一言で言えば、iThemes Security は WordPress プロジェクトに必須のフリーミアム セキュリティ ガードです。 WordPress のセキュリティを簡単に強化できるプラグインとして提供されます。
これは独立したガイドですが、最初に iThemes Security Pro のレビューを読んでいただくと役立ちます。
数え切れないほどの機能に加えて、iThemes Security Pro は、使いやすい生体認証ログインを WordPress Web サイトに導入するのに役立ちます。したがって、これらの機能は Apple (Touch ID、Face ID)、Android (指紋、PIN、パターン)、Windows (Windows Hello) で使用できます。
適用すると、ユーザーのログイン URL に次のプロンプトが表示されます。
これにより、WordPress Web サイトにログインする別の (そして簡単な) 方法が得られます。
パスキーについて理解する
パスキーを介してログインするこの方法では、スマートフォンや Macbook など、物理的に所有しているデバイスですでに使用しているローカル認証資格情報が使用されます。
これは WordPress のロックを解除する最も簡単な方法であるだけでなく、最も安全でもあります。
たとえば、類似した (別名フィッシング) WordPress ログイン ページにユーザー名とパスワードを与える可能性がわずかにあります。しかし、パスキーにはそのような抜け穴はありません。
パスキーは、公開キーと秘密キーのペアを使用する暗号化認証であるWebAuthnによってサポートされています。
公開キーはクラウドに保存され、秘密キーはローカル デバイスに存在します。そのため、WordPress ログイン ページでフィンガープリントを行うと、それが本当にあなたであることが認識され、ダッシュボードに送られます。
この場合、保護する必要があるのはユーザー名とパスワードと比較した生体認証だけであり、サイバー犯罪者がフィッシングなどで盗む可能性があります。
WebAuthn の開発には、Google、Microsoft、Mozilla、Yubico などの大手テクノロジー企業が参加しています。
一言で言えば、安全で丈夫です。
生体認証ログインの構成
この方法では非常に高度なセキュリティが導入されますが、アプリケーションは簡単に実行できます。
まず、iThemes Pro サブスクリプションが必要です。
次に、WordPress ダッシュボードのサイドパネルで[セキュリティ] > [設定]に移動します。最後に、 「パスワードなしログイン」と「パスキー」のトグルをオンにします。
パスキーがなければ、ログイン時にマジック リンクを使用できます。ただし、これをオンにすると、両方をオンにしない限り、これはパスキーに置き換えられます (このセクションで後述します)。
ここで、管理者はこの新しいログイン ポリシーのユーザーを選択します。このオプションは、iThemes Security Pro ダッシュボードの[ユーザー グループ]セクションにあります。
事前定義されたユーザー クラス (管理者、作成者、編集者、サブスクライバーなど) から選択するか、 [新しいグループ]オプションを使用してカスタム バッチを作成することができます。
次に、管理者は選択したユーザー カテゴリに対してパスワードなしのログインを強制します。
特に、iThemes セキュリティの[設定] > [ログイン セキュリティ] タブから両方 (マジック リンクとパスキー) を使用できます。
これで、 「Email Magic Link」または「Use Your Passkey」を使用してログイン URL を入力するよう求められます。
マジックリンクをクリックすると、登録したメールアドレスにログインメールが送信されます。ただし、最初にパスキーを設定しないと、2 番目の方法では不明なエラーが表示されます。
パスキーの使用
生体認証設定の最初のステップは、 「パスキーを使用する」ボタンの下にある「パスワードでログイン」を使用することです。
この記事を書いている時点では、WordPress ログインのみでパスワードレスを使用するオプションは見つかりませんでした。したがって、強力なパスワード ポリシーを適用することが重要です。そうしないと、ユーザーは依然として弱いパスワードを使用する可能性があるからです。これらのオプションは、 [ユーザーグループ] > [機能]にあります。さらに、パスワードの有効期間は[設定] > [ログイン セキュリティ] > [パスワード要件]で設定できます。
定期的にログインすると、すべてのユーザーに「パスキー ログインの設定」を求めるメッセージが表示されます。 [パスキーの追加] をクリックすると、ローカル デバイスに基づいたオプションが表示されます。
たとえば、Windows 10 PC 上の Windows Hello に送信されました。
正しい PIN を入力すると、ユーザー名と Windows ログイン PIN だけでログインできました。
同様に、Android (または iOS) でもパスキーを設定できます。
特に、ユーザーが[セットアップをスキップ]オプションを選択した場合は、再度プロンプトが表示されません。その場合、WordPress ユーザープロファイルセクションでパスキーを設定できます。
下部にある「パスキーの管理」をクリックし、続いて「パスキーの追加」をクリックしてセットアップを開始します。
未来はパスワードレスです!
間違いなく、それは未来です。 (WordPress での) パスワードレス化は、現在利用できる最も安全で最も手間のかからない認証形式です。
所有するデバイスごとにパスキーを設定する必要がありますが、この 1 回限りの作業は、今後のすべてのログインにとって価値があります。
これで、iThemes Security Pro を使用した生体認証ログインは完了です。無料版も優れていますが、私が説明した機能はプレミアム プランの一部であり、返金保証によりリスクなしで購読できます。
PS: バックアップはどの Web サイトにとっても重要であり、WordPress プロジェクトも例外ではありません。別の iThemes 製品である Backupbuddy を使用してこれを行う方法を確認してください。