WordPress プラグイン、Google Authenticator の導入メモ♪ | oki2a24 で次のような課題がありました。
- iPhone の WordPress アプリでダッシュボードの表示を試みても証明書が無効のためにエラーとなりました。ユーザー名、パスワード、Google Authenticator code を入力しても次のようなアラートが表示され、ログインできません。
エラー
このサーバの証明書は無効です。”oki2a24.com”に偽装したサーバに接続している可能性があり、機密情報が漏えいするおそれがあります。
これの原因はわかっています。ログイン時にサーバに送信する情報を SSL 暗号化して通信しておりますが、身元保証はしておりません。いわゆる「オレオレ証明書」での自己署名証明書を使用しています。
ですので、採用するかどうかはともかく、とりあえず Google Authenticator プラグインを有効にしたまま、ログイン時の SSL 通信は無効とするやり方を試し、本当に iPhone の WordPress for iOS アプリにログインできるかどうかを確認します。
ログイン時の SSL 通信は無効とする方法
これは簡単です。WordPress はもともとオフとなっておりますので、オンにした時の方法を逆にすればよいのです。オンにした時の投稿はこちらです。
具体的には、「wp-config.php」を編集し次のようにコメントとするだけです。
/** SSL ログインを強制する*/
define('FORCE_SSL_LOGIN', true);
↓
/** SSL ログインを強制する*/
//define('FORCE_SSL_LOGIN', true);
気になる結果は?そしてどちらを選択しましょうか?
SSL ログインの強制をオフにした結果、iPhone の WordPress for iOS アプリから本ブログの管理画面へと無事ログインすることができるようになりました♪
さて、ここで選択の時です。どちらがよいでしょうか?
- WordPress プラグイン「Google Authenticator」を使用しない、かつ、WordPress 設定「SSL ログインの強制」を使用する
- WordPress プラグイン「Google Authenticator」を使用する、かつ、WordPress 設定「SSL ログインの強制」を使用しない
どちらも使用しないのは、さらにセキュリティを一段下げることになりますので選択としてはありえません。また、どちらも使用するのは、理想ですけれども SSL で自己署名を使用している限りは不可能です。
以上をふまえまして、セキュリティのためにどちらを採用したかは、ヒミツです。
おわりに
本ブログを置いておりますサーバの OpenSSL をゴニョゴニョしましたら、PC のブラウザでも スマートフォンのブラウザでも「セキュリティ警告」が出なくなるのかと期待して調べておりました。
ですが現実は甘くないようです。信頼ある CA 認証局から購入した証明書を使用しない限り、警告は出続けるようです><。残念ですが、この世のセキュリティを保つためと諦めたほうがよさそうです。
また、わたくし勘違いしておりました。
yum を使いまして OpenSSL をインストールすれば、自己署名の証明書は自動的にインストールされ、これを使用した SSL の暗号化通信が可能となるのですね。「自己署名 ssl」で Google 検索し、自己署名の証明書を入れれば一律にセキュリティ警告が出なくなると思い込んで、がんばって調べておりました。えへへ。ですが調べる中で「調べても無意味」と気がつくことができてよかったです♪
以上です。