Joomla!のセキュリティ(脆弱性)対策にGoogle認証

自分のサイトはたいしたアクセスもないし、まさかハッキングされることはないだろう

と油断したらやられました。100PV/日程度のJoomla!サイトの管理画面が何者かにログインされてマルウェアを仕込まれました。その結果、そのサーバの全データ（他サイトのデータ含む）を削除して、ローカルPCのデータから全サイトを作りなおす羽目になりました。何日もの時間ロスでした。

Joomla!の管理画面にほんのちょっと手間を掛けるだけで膨大な時間を無駄にさせられずに済みます。ここでは、Joomla!の管理画面のセキュリティ対策にGoogle認証を使う方法をまとめます。

Google認証とは

Google認証とは、Joomla!管理画面のログインに、ユーザー名、パスワード、Googleが発行するワンタイムパスワードの3つを使う認証方法です。Googleからワンタイムパスワードを受け取るには、Google Authenticatorというアプリを使います。Android版とiPhone版があります。予めスマートフォンにダウンロード、インストールしておきましょう。

Google認証の設定

 Joomla!管理画面にアクセスして「エクステンション」→「プラグイン」を開いて「2段階認証 - Google認証」を有効にします。

「2段階認証 - Google認証」の「状態」が✔に変わったことを確認します。

 「ユーザ」→「管理」を開きます。

管理者のユーザを開きます。

 「2段階認証」タブを開いて「認証方法」を「Google認証」に設定すると、2次元バーコード（QRコード）が表示されます。

スマートフォンからGoogle Authenticatorを起動します。Google Authenticatorの[＋]ボタンをタップして「バーコードをスキャン」で、2次元バーコード（QRコード）をスキャンします。

Google Authenticatorの画面に新しくワンタイムパスワードが表示されるようになったことを確認したら、Joomla!管理画面に戻って「保存」して、ログアウトします。
Joomla!管理画面にアクセスすると、ユーザー名、パスワードの下に「シークレットキー」という欄が表示されます。そこにGoogle Authenticatorのワンタイムパスワードを入力します。

更にセキュリティを高めるには、管理画面のURLのカスタマイズやブルートフォース攻撃を検知した際のメール通知機能を持つAdminExileを併用しましょう。