iThemes Security Pro機能スポットライト：マジックリンクとパスワードなしのログイン

Feature Spotlightの投稿では、iThemes Security Proの機能に焦点を当て、その機能を開発した理由、その機能の対象者、およびその機能の使用方法について少し説明します。

今日はマジックリンクとパスワードなしログイン、iThemesセキュリティProのプラグインに2つの優れた機能をカバーしようとしています。

マジックリンク

iThemes Security Proは、悪者を締め出すのに最適です。 ただし、悪者がブルートフォース攻撃でユーザー名Bobを使用し、Bobがサイトの実際のユーザーである場合、残念ながら、Bobは攻撃者とともにロックアウトされます。

次にボブがログインしようとすると、iThemesセキュリティロックアウトメッセージが表示されます。 ボブがサイト管理者である場合、ロックアウトの期限が切れるのを待つか、FTP経由でiThemes SecurityProを手動で無効にする必要があります。

ボブがあなたのクライアントである場合、彼はロックアウトの深刻さを過大評価する可能性が高く、なぜあなたが彼のサイトをハッキングさせたのか疑問に思って、必死にあなたに連絡します。 これは、サイトを保護し、Sync Proを使用してロックアウトをクリアするか、サイトにログインしてiThemesセキュリティウィジェットからロックアウトをクリアし、再度ログインできるようにする証拠であることを説明する必要があります。

悪意のあるユーザーがサイトに侵入するのを防ぐのは素晴らしいことですが、セキュリティが実際のユーザーのエクスペリエンスに影響を与える場合は、それが好きではありません。 そこで、ブルートフォース攻撃でユーザー名が使用された場合でも、ボブがログインできるようにする方法を作成したかったのです。 サイト管理者が貴重な時間をロックアウトのクリアに費やす必要はありません。

マジックリンクとは何ですか？

Magic Linksを使用すると、iThemesSecurityローカルブルートフォース保護機能によってユーザー名がロックアウトされているときにWordPressサイトにログインできます。

ユーザー名がロックアウトされている場合は、一意のログインリンクを含むメールをリクエストできます。 電子メールで送信されたリンクを使用すると、ユーザー名のロックアウトがバイパスされますが、ブルートフォース攻撃者は引き続きロックアウトされます。

iThemes SecurityProでマジックリンクを使用する方法

マジックリンクを開始するには、セキュリティ設定にナビゲートメニュー機能と魔法のリンクを有効にします。

Magic Linksを有効にした後にロックアウトが発生した場合は、MagicLinkを自分の電子メールアドレスに送信するオプションが表示されます。

「承認されたログインリンクを送信」リンクをクリックするだけで、MagicLinksの電子メールを受信できます。

メールを受信したら、リンクを使用して資格情報を入力すると、サイトに戻ります。

パスワードなしのログイン

定義上、すべてのセキュリティ対策は、追加されたセキュリティを受け取っているものすべての利便性を低下させるように設計されています。 セキュリティを強化するために、私の家の正面玄関には鍵がかかっています。 ロックには、ドアが開く前にキーを使用してドアのロックを解除するという追加の手順が必要です。 私の家に入るための余分なステップを追加することは、ロックがなくても簡単だとしても、おそらく良い考えです。

同じことがあなたのオンラインアカウントにも当てはまります。 強力で一意のパスワードと2要素認証を使用すると、ブルートフォース攻撃から100％保護されます。 残念ながら、同じ弱いパスワードを再利用し、いかなる形式の2要素も使用していない人はまだたくさんいます。

セキュリティコミュニティの私たちの人々は、大量のセキュリティを取得するために少しの利便性を犠牲にするように人々を説得することがなぜそれほど難しいのかを理解するのに苦労することがよくあります。 入る物理的なドアごとに一意のロックを設定することすら考えていません。車、妻の車、家、オフィス、メールボックスのキーを持っています。仮想ドアで一意のパスワードを使用するのはなぜですか。不便？

WordPress用にパスワードなしのログインを開発したのはなぜですか？

セキュリティコミュニティの私たちは、セキュリティを必要以上に混乱させてきたことに気づき始めました。 物理的なドアの鍵を入手したら、完了です。 ただし、パスワードセキュリティを使用して、圧倒される可能性のある一連のルールを作成しました。 さらに悪いことに、強力なパスワードを作成するためのルールがどうあるべきかについて合意できないようです。

セキュリティコミュニティの私たちがそれを認めたいかどうかにかかわらず、パスワードマネージャーと二要素認証の使用は、特に私たちの生活の多くをオンラインで移動するときに、苦痛と時間がかかる可能性があります。

そのため、使いやすさを犠牲にすることなく、強力で一意のパスワードが提供するすべてのセキュリティを人々が取得できる方法を作成したかったのです。

パスワードなしのログインとは何ですか？

パスワードなしのログインは、実際にログインするためにパスワードを必要とせずに、ユーザーのIDを確認するための新しい方法です。 Magic Linksのアイデアを取り入れて、パスワードや追加の認証コードを入力することなく、ユーザーに強力なパスワードと2要素認証の使用を要求できる新しいログイン方法に進化させました。

パスワードなしのログインの使用方法

パスワードなしのログインの使用を開始するには、セキュリティ設定の[機能]メニューに移動し、パスワードなしのログインを有効にします。

パスワードなしのログインを有効にした後、歯車をクリックして設定を管理します。

[ユーザーグループ]リンクをクリックして、ログイン方法を使用できるユーザーを選択し、その方法を使用するときに2要素をバイパスします。

パスワードなしのログインを有効にしたので、サイトのユーザーエクスペリエンスに悪影響を与えることなく、強力なパスワードと2要素要件を適用できます。

パスワードなしのログイン方法のしくみ

ログインすると、ログイン方法を選択するように求められます。 [マジックリンクをメールで送信]ボタンをクリックして、パスワードなしのログインリンクを含むメールを送信します。

メールが送信されたことを確認するメッセージが表示されます。

メールの受信トレイで、MagicLinkのメールと[今すぐログイン]ボタンを開きます。

これで、パスワードや2要素トークンを入力する必要はありません。 つまり、パスワードなしのログインを有効にすると、複雑なパスワードを知ったり、追加のコードをコピーして貼り付けたりする必要がなくなります。 ただし、サイトをブルートフォースしようとする悪意のあるユーザーの成功率は0％になります。

まとめ

ご覧のとおり、iThemes SecurityProのMagicLinksとPasswordlessLoginsはどちらも、不便を加えることなく、サイトに強力なセキュリティ層を追加できます。

iThemes SecurityPro機能の次のエディションのスポットライトをお見逃しなく。 WordPress管理者を保護し、セッションハイジャックを防ぐための優れたツールである信頼できるデバイスにスポットライトを当てています。

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。