Joomla! 3.xのセキュリティ対策にGoogle認証

自分のサイトはたいしたアクセスもないし、まさかハッキングされることはないだろう

と高をくくっていたらやられました。

100PV/日程度のJoomla!サイトの管理画面が何者かにログインされてマルウェアを仕込まれました。その結果、そのサーバの全データ(他サイトのデータ含む)を削除して、ローカルPCのデータから全サイトを作りなおす羽目になりました。何日もの時間ロスでした。

Joomla!の管理画面にほんのちょっと手間を掛けるだけで膨大な時間を無駄にさせられずに済みます。ここでは、Joomla!の管理画面のセキュリティ対策にGoogle認証を使う方法をまとめます。

Google認証とは

Google認証とは、Joomla!管理画面のログインに、ユーザー名、パスワード、Googleが発行するワンタイムパスワードの3つを使う認証方法です。Googleからワンタイムパスワードを受け取るには、Google Authenticatorというアプリを使います。Android版iPhone版があります。予めスマートフォンにダウンロード、インストールしておきましょう。

Google認証の設定

 Joomla!管理画面にアクセスして「エクステンション」→「プラグイン」を開いて「2段階認証 - Google認証」を有効にします。

Google認証

2段階認証 - Google認証」の「状態」がに変わったことを確認します。

google認証

 「ユーザ」→「管理」を開きます。

google認証

管理者のユーザを開きます。

google認証

 「2段階認証」タブを開いて「認証方法」を「Google認証」に設定すると、2次元バーコード(QRコード)が表示されます。

Google認証

スマートフォンからGoogle Authenticatorを起動します。Google Authenticatorの[]ボタンをタップして「バーコードをスキャン」で、2次元バーコード(QRコード)をスキャンします。

Google Authenticator

Google Authenticatorの画面に新しくワンタイムパスワードが表示されるようになったことを確認したら、Joomla!管理画面に戻って「保存」して、ログアウトします。

Joomla!管理画面にアクセスすると、ユーザー名、パスワードの下に「シークレットキー」という欄が表示されます。

Google認証

「シークレットキー」欄には、Google Authenticatorのワンタイムパスワードを入力します。

更にセキュリティを高めるには、管理画面のURLをカスタマイズしたりブルートフォース攻撃を検知してメールで通知するAdminExileを併用しましょう。