「WordPressをスマホでも操作したい」
そう考えている方は、安全のためにアプリではなくブラウザを使いましょう!
今回は、スマホアプリの危険性と、スマホブラウザでWordPressにログインする方法を中心に解説します。
WordPressログインに2段階認証を導入済みの方なら、とくに読んでもらいたい内容です。
そうでない方でも、XML-RPC機能を無効化していないならぜひご覧ください。
本記事の要約は次のとおりです。
- WordPressスマホアプリのログインにも使われる通信ルール(XML-RPC)は2段階認証が使えないため、安全性が低い
- スマホブラウザからのログインには2段階認証が有効なので、ブラウザを使おう
- 攻撃に利用される危険もあるので、XML-RPC機能は無効化しておこう
詳細は以下をどうぞ。
ぼくもスマホアプリを使おうとしましたが、いろいろと調べると、2段階認証を無効化した抜け穴的ログインが必要だとわかりました。
ぼくは危険だと考えて、スマホアプリは使わないと決めています。
WordPressスマホアプリでログインできる状態は危険
WordPressアプリアイコン(iPhoneのスクショから作成)スマホアプリを使いたい方は読み飛ばして、どうしてもWordPressアプリを使いたい方向けの設定・ログイン方法をご覧ください。
けれどもできれば、以下の解説を読んでから改めて考えてみてほしいと思います。
XML-RPC機能のために2段階認証を一部無効化しなければならない
アプリからログインするとき、ログイン操作の裏ではXML-RPCという通信ルールが使われています。
しかし、XML-RPC機能のためには2段階認証を一部無効化しなければなりません。
そうすると、2段階認証を経てWordPress管理画面にアクセスするルートとは別に、XML-RPC経由の裏ルートが生まれます。
このルートは2段階認証がなく、ユーザー名(またはメールアドレス)とパスワードのみでWordPressの操作が可能なのです。
わざわざ2段階認証を設定してセキュリティを高めていたつもりでも、XML-RPC経由の裏ルートを使われたらどうしようもありません。
アプリからログインできる状態には、裏ルートを使われるリスクが内在すると考えてください。
XML-RPC機能にはDoS攻撃などのリスクがある
裏ルートが存在すると、攻撃を受けるリスクが高まります。
XML-RPC機能の脆弱性を利用した代表的な攻撃は次の3つです。
- DoS攻撃
- ブルートフォース攻撃
- DDoS攻撃
ネットセキュリティ専門家ではないので、解説は控えます(解説できるほど理解できていません……)。
XML-RPC機能が使えるようになっていると、攻撃対象になりやすいということは覚えておきましょう。
アプリではなくブラウザでログインしよう
スマホでWordPressを操作したいなら、2段階認証の一部無効化が必要なアプリではなく、ブラウザでログインしましょう。
(2段階認証が有効な)ブラウザでログインする
スマホブラウザ版WordPressログイン画面手順は次のとおりです。
- ブラウザのログインページにアクセス
- ユーザー名(またはメールアドレス)とパスワードを入力して「ログイン」をタップ
- 有効なら2段階認証を行う
手順1のみ以下で補足します。
「1. ブラウザのログインページにアクセス」の補足
URLを直接入力するのが簡単です。
Safariを例に説明します。
Safariを開いたら、左下の+マークで新しいページ(タブ)を追加します。
Safariスマホアプリ画面下部(スクショから作成)もし画面下部が下のような状態なら、右の□が重なったマークをタップすると左下に+マークが現れます。
Safariスマホアプリ画面下部(スクショから作成)続いて画面下部の「検索/Webサイト名入力」に、自分のログインページURLを入力。
わからなければ、パソコンで管理画面を開き、URLを確認しましょう。
パソコン版管理画面から作成入力したらキーボードの「開く」をタップして完了です。
ブラウザ画面は下書きの最終確認と簡単な修正で使う
スマホブラウザ版管理画面から作成スマホブラウザの編集画面は上の画像の感じです。
微妙にレイアウトが崩れているような……。
パソコンと比べると操作はしづらいですが、一応の編集やアップロード(更新)は可能です。
下書きの確認や、その簡単な修正を外出中にするのには適していると思います。
ついでにプラグインでXML-RPC機能は無効化しておこう
「XML-RPCにはDoS攻撃などのリスクがある」ので、ついでにXML-RPC機能は無効化しておきましょう。
WordPressのプラグインを使えば簡単です。
ここでは「Wordfence」プラグインの設定方法を解説します。
他にも設定できるプラグインは存在します。
すでにセキュリティ用の別プラグインを入れている場合は、XML-RPC機能を無効化できるか調べてみてください。
Wordfenceを使ったXML-RPC機能の無効化方法
パソコン版管理画面から作成- 管理画面上で、左のメニュー「Wordfence」にカーソルを合わせて「Login Security」をクリック
- 上部メニュー「Settings」をクリック
- 「Disable XML-RPC authentication」のチェックを入れる
- 「Require 2FA for XML-RPC call authentication」の「REQUIRED」を選択(念の為)
- 「SAVE」をクリック
スマホアプリではログインできなくなる
スマホアプリのログイン画面XML-RPC機能を無効化できたら、スマホアプリでログインできなくなっているか確認してみましょう。
正しく設定できていれば、パスワードを入力してログインしようとすると
「このサイト上ではXML-RPCサービスが無効になっています。」
と表示されるはずです。
もし先にログインしていても(されていても)問題ありません。
「アップロードに失敗しました」とメッセージが表示されて、投稿がアップロードできない状態になります。
スマホアプリの管理画面(アップロード失敗)どうしてもWordPressアプリを使いたい方向けの設定・ログイン方法
スマホアプリ版管理画面どうしてもWordPressアプリを使いたいなら、まず2段階認証を一部無効化する必要があります。
2段階認証を使っていなければアプリでのログイン方法に進んでください。
ここではWordfenceプラグインにおける方法を解説します。
Wordfenceを使った2段階認証の一部無効化
パソコン版管理画面から作成- 管理画面上で、左のメニュー「Wordfence」にカーソルを合わせて「Login Security」をクリック
- 上部メニュー「Settings」をクリック
- 「Require 2FA for XML-RPC call authentication」で「SKIPPED」を選択
- 「Disable XML-RPC authentication」のチェックを外す
- 右上の「SAVE」ボタンをクリック
アプリでのログイン方法
- 「既存のサイトアドレスを入力」をタップ
- ドメイン名を入力して「次へ」をタップ
- ユーザー名またはメールアドレス、パスワードを入力して「次へ」をタップ
アプリでログインできない①:「XML-RPCサービスが無効になっています」と表示される
意図的にXML-RPC機能が無効化されています。
Wordfenceプラグインの場合は「Wordfenceを使った2段階認証の一部無効化」通り設定できているか確認してください。
他のセキュリティ用プラグインの設定も問題ない場合、プラグインではなく構成ファイルを直接編集して設定している可能性があります。
過去に構成ファイルを編集しなかったか確認してみてください。
アプリでログインできない②:「このユーザー名またはパスワードは、このサイトに関連付けられていないようです。」と表示される
このメッセージも、XML-RPC機能が無効化、または制限されていると表示されます。
Wordfenceプラグインの場合は「Wordfenceを使った2段階認証の一部無効化」で示した「SKIPPED」が「REQUIRED」のままだと考えられます。
正しく設定しているか、最後に「SAVE」ボタンをクリックしたか確認してみましょう。
まとめ:やはり危険なので、できればブラウザを使おう
今回は、WordPressスマホアプリにも使われるXML-RPC機能の危険性と、スマホブラウザのログイン方法を中心に解説しました。
操作面ではアプリのほうが優れていますが、セキュリティ面を考えるとブラウザのほうが安全です。
アプリは基本的に使わず、XML-RPC機能も無効化して、できるだけ安全なWordPress管理環境を整えていきましょう。
