未来が向かおうとしているまったく新しいドメインである WordPress のパスワードレス ログインについて調べてみましょう。
パスワードは近い将来消滅します。 それらはセキュリティを強化することを目的としていましたが、最終的には解決策よりも多くの問題を生み出しました.
強力なパスワードから始まり、2 要素認証が続き、誰も対処したくない余分なクリック (作業の読み取り) が追加されました。
マジック リンクと呼ばれる別のソリューションが最近登場しました。 これにより、パスワードを入力する代わりに、ユーザー名を入力してメールからリンクを開くことができます。
電子メール アカウントを保護し、そのセキュリティを他のすべての場所で活用するだけでよいため、より安全ですが、最速の方法ではありません。
WordPress パスワードレスログイン
WordPress は平均的なインターネット ユーザーにとって使いやすいものですが、この単純さにはセキュリティ リスクが伴います。 また、iThemes Security を使用して強力なパスワードを強制することもできますが、安全性を確保しながら簡単にパスワードを設定できるようにすることを目的としています。
一言で言えば、iThemes Security は WordPress プロジェクトに必須のフリーミアム セキュリティ ガードです。 WordPress のセキュリティを簡単に強化するためのプラグインとして提供されます。
これは独立したガイドですが、最初に iThemes Security Pro のレビューを読むと役立ちます.
無数の機能に加えて、iThemes Security Pro は、使いやすい生体認証ログインを WordPress Web サイトに展開するのに役立ちます。 したがって、これらの機能は、Apple (Touch ID、Face ID)、Android (指紋、ピン、パターン)、および Windows (Windows Hello) で使用できます。
適用すると、ユーザーはログイン URL に次のプロンプトを表示します。
これにより、WordPress Web サイトにログインする別の (そして簡単な) 方法が提供されます。
パスキーについて
このパスキー経由のログイン方法では、スマートフォンや Macbook など、物理的に所有しているデバイスで既に使用しているローカル認証資格情報を使用します。
WordPress のロックを解除する最も簡単な方法であることに加えて、これは最も安全でもあります。
たとえば、似たような (別名フィッシング) WordPress ログインページにユーザー名とパスワードを提供できる可能性がわずかにあります。 しかし、パスキーにはそのような抜け穴はありません。
パスキーは、公開鍵と秘密鍵のペアを使用する暗号化認証である WebAuthn でサポートされています。
公開鍵はクラウドに保存され、秘密鍵はローカル デバイスに存在します。 そのため、WordPress のログイン ページでフィンガープリントを使用すると、それが本当にあなたであることがわかり、ダッシュボードに送られます。
この場合、保護する必要があるのは、サイバー犯罪者がフィッシングなどで盗む可能性のあるユーザー名とパスワードと比較して、生体認証だけです.
WebAuthn の開発には、Google、Microsoft、Mozilla、Yubico などの主要な技術大手が参加しています。
つまり、安全で堅牢です。
生体認証ログインの設定
この方法は非常に高度なセキュリティを展開しますが、アプリケーションは簡単です。
まず、iThemes Pro サブスクリプションが必要です。
次に、WordPress ダッシュボードのサイド パネルで[セキュリティ]>[設定]に移動します。 最後に、パスワードなしのログインとパスキーのトグルをオンにします。
パスキーがなければ、ログインでマジック リンクを使用できます。 ただし、これをオンにすると、両方をオンにしない限り、パスキーに置き換えられます (このセクションで後述します)。
ここで、管理者はこの新しいログイン ポリシーのユーザーを選択します。 このオプションは、iThemes Security Pro ダッシュボードの[ユーザー グループ]セクションにあります。
定義済みのユーザー クラス (管理者、作成者、編集者、購読者など) から選択するか、[新しいグループ]オプションを使用してカスタム バッチを作成できます。
次に、管理者は、選択したユーザー カテゴリに対してパスワードなしのログインを強制します。
特に、iThemes セキュリティの[設定]>[ログイン セキュリティ]タブから両方 (マジック リンクとパスキー) を使用できます。
これで、Email Magic Link または Use Your Passkey を使用してログイン URL が表示されます。
マジックリンクをクリックすると、登録メールアドレスにログインメールが送信されます。 ただし、最初にパスキーを設定しない限り、2 番目の方法では不明なエラーが表示されます。
パスキーの使用
生体認証セットアップの最初のステップは、[パスキーを使用]ボタンの下にあるパスワードを使用してログインすることです。
これを書いている時点では、WordPress ログインのみでパスワードレスを使用するオプションを見つけることができませんでした. そのため、強力なパスワード ポリシーを適用することが重要です。そうしないと、ユーザーは依然として脆弱なパスワードを使用できるからです。 これらのオプションは、[ユーザー グループ]>[機能]にあります。 また、パスワードの有効期間は、[構成]>[ログイン セキュリティ]>[パスワード要件]で設定できます。
定期的にログインすると、すべてのユーザーはパスキー ログインのセットアップを求められます。[パスキーを追加]を選択すると、ローカル デバイスに基づくオプションが表示されます。
たとえば、Windows 10 PC で Windows Hello に送られました。
正しい PIN を入力すると、ユーザー名と Windows ログイン PIN だけでログインできました。
同様に、Android (または iOS) でもパスキーを設定できます。
特に、ユーザーが[セットアップをスキップ]オプションを選択した場合、これは再度プロンプトを表示しません。 その場合、WordPress のユーザー プロファイル セクションでパスキーを設定できます。
下部にある[パスキーの管理]をクリックし、続いて[パスキーの追加]をクリックしてセットアップを開始します。
未来はパスワードレス!
間違いなく、それは未来です。 (WordPress での) パスワードレスへの移行は、現在利用可能な認証の最も安全で手間のかからない形式です。
所有するデバイスごとにパスキーを設定する必要がありますが、この 1 回限りの作業は、今後のすべてのログインにとって価値があります。
iThemes Security Pro を使用した生体認証ログインはこれで終了です。 無料版は優れていますが、私が説明した機能はプレミアム プランの一部であり、返金保証によりリスクなしで購読できます.
PS: バックアップはどの Web サイトにとっても重要であり、WordPress プロジェクトも例外ではありません。 別の iThemes 製品、Backupbuddy でこれを行う方法を確認してください。
