WordPressでTitan セキュリティ キーを使い2段階認証する方法

Titan セキュリティ キー

WordPressの2段階認証で「Google Authenticator」というプラグインを使っていたのですが、何十個もWordPressのアカウントを管理しているとログインする度にスマホのアプリを開いて該当の認証アカウントを探し6桁の数字を入力するという作業がとても面倒でした。かと言って2段階認証をオフにして大切なクライアントさんのサイトの防御力を下げるわけにもいかず煩わしいなと思っていたところ、Googleの「Titan セキュリティ キー」が日本でも発売され、WordPressでも使えそうだったので購入してみました。

Titan セキュリティ キーの箱

以下の説明はTitan セキュリティキーのBluetoothキーを使った説明ですが、USBキーでも同じような流れになります。
Bluetooth セキュリティキーを使うには下記ページを参照しWordPressを使用するデバイスとのペアリングを行ってください。

“WordPressでTitan セキュリティ キーを使い2段階認証する方法” の続きを読む

Titan セキュリティ キー Bluetoothでの使用方法

Titan セキュリティ キー

「Titan セキュリティ キー」が日本でも発売されたので Google ストア で購入してみました。
Titan セキュリティ キーは2段階認証プロセス(2FA)に対応する FIDO 標準を実装し、2段階認証プロセス(2FA)として使用する物理キーです。
パスワードと組み合わせて2段階認証を構築することで、フィッシングを防止し、オンライン アカウントへの不正アクセスを防ぐ事ができます。

簡単に説明すると、Titan セキュリティ キーを使い2段階認証を構築していれば仮にパスワードが突破されても、このTitan セキュリティ キーがなければ不正アクセスをされることはないということです。

Titan セキュリティ キーの箱
Titan セキュリティ キーのセット内容

USB と Bluetooth セキュリティ キー どちらを使うか?

Titan セキュリティ キーには、物理的な USB セキュリティ キーと、Bluetooth セキュリティ キーが付属します。
USB セキュリティ キーはUSB / NFCで利用でき、Bluetooth セキュリティ キーはUSB / NFC / Bluetoothで利用できます。
Googleによると「どちらか一方を主に使用し、もう一方は安全に保管してください。」とのことです。
僕の場合は職場・出先・自宅と持ち運んで使用するケースが多いので、Bluetoothで使えた方が利便性が高いため「Bluetooth セキュリティ キー」を使用します。
USB セキュリティ キーは充電の必要がないというメリットがありますが、持ち運び時のUSBの抜き差しが面倒だなと思いました。Bluetooth セキュリティ キーは充電が必要ですが、海外の記事を見ると、使い方にもよるだろうけど数ヶ月は持ちそうなのでBluetooth セキュリティ キーを選びました。
購入した目的はWordPressの2段階認証で利用したいためで、WordPressにログインするたびにTitan セキュリティ キーを利用することになるので、ほぼ毎日使用することになると思います。
WordPressで利用する方法は↓のエントリーをご覧ください。

Bluetooth セキュリティ キー
Bluetooth セキュリティ キー
“Titan セキュリティ キー Bluetoothでの使用方法” の続きを読む

Google Discoverが表示されないのはG Suiteの設定のせいかも

なぜかG SuiteのGoogleアカウントのスマホでは下の画像のようにGoogle Discoverが表示されません。
無料のGoogleアカウントだと表示されます。

Google Discoverが表示されないスマホの画面

いろいろ調べたところGoogle Discoverが表示されな原因はG Suiteの設定で「Google Nowの使用」がオフになっているせいでした。

職場や学校のアカウントで Google 検索、Google アプリ、Discover を使用するhttps://support.google.com/websearch/answer/2824784?hl=ja

G Suiteの管理者コンソールから下記の操作を行うことでGoogle Discoverが表示されるようになりました。

デバイス管理→詳細設定→他のGoogleサービス→「Google Now の使用を許可する」のチェックボックスにチェックをつける

Google Nowをオンにする

Really Simple CSV ImporterでWordPressのカスタムフィールド(Smart Custom Fields)の繰り返しフィールドにデータをインポートする方法

カスタムフィールドのプラグインは Smart Custom Fields を使っています。
CSVをインポートするプラグインは Really Simple CSV Importer を使いました。

Smart Custom Fields は、繰り返しフィールドが使えるので大変重宝しているプラグインです。今回、カスタムフィールドの繰り返しフィールドをCSVで一括登録したく、インポートする方法を探していた所、Really Simple CSV Importer のアドオンをインストールすることでインポートすることができました。

“Really Simple CSV ImporterでWordPressのカスタムフィールド(Smart Custom Fields)の繰り返しフィールドにデータをインポートする方法” の続きを読む

常時SSLで新規にWordPressをインストールする方法

やることは http:// で WordPress をインストールすることと同じです。
お問い合わせフォームなどの特定のページだけ SSL にしたい場合は、WordPress HTTPS (SSL) 等のプラグインを利用するのですが、常時SSLとして運用する場合は、特にSSLにするためのプラグインは必要ありません。

http://example.com/wp-admin/setup-config.php
↑からインストールしていたのを、
https://example.com/wp-admin/setup-config.php
https://~~ からインストールすればいいだけです。

公開ページは、 http:// 、 https:// のどちらでもアクセスができますが、ログイン画面と管理画面には http:// からアクセスする https:// にリダイレクトされ、強制的にSSL接続となるので、wp-config.php ファイルに define(‘FORCE_SSL_ADMIN’, true); と記述する必要はなさそうです。

以下は常時SSLとしてWordPress をインストールした時の流れです(非SSLでインストールするのと全く同じです)

“常時SSLで新規にWordPressをインストールする方法” の続きを読む

エックスサーバーで年間1000円~SNI SSLで独自SSLを使う

Googleが2014年に、「HTTPS をランキング シグナルに使用します」と発表し、常時SSL化が推奨されるようになりました。サイト運営者側からすると常時SSLが検索順位に優位になるという利点もありますが、ユーザーにとってもアクセスしたサイトがセキュアであることに越したことはありません。
昔はSSL(独自SSL)導入となると結構な費用負担になったのですが、現在はSNI(Server Name Indication)を利用したSSLを導入することで、かなりランニングコストを抑えることができ、個人サイトでも導入できる価格になりました。
現在SNI SSLを利用できるレンタルサーバー(共用サーバー)は多くありませんが、大手では「さくら」で利用でき、2015年9月16日から「エックスサーバー」でも利用できるようになりました。
導入費用はエックスサーバーを例にすると、初期費用は無料で、CoreSSLが年間1,000円、ラピッドSSLが年間1,500円という価格です。サイトシールが使えるSecureCoreとジオトラストは少々高めです。 

エクスサーバー SNI SSL(ネームベース)価格表
  CoreSSL ラピッドSSL SecureCore ジオトラスト
1年 1,000円 1,500円 9,000円 14,000円
2年 1,800円 2,700円 17,000円 26,000円
3年 2,500円 3,200円 24,000円 36,000円

SNI SSLはSSL専用のIPアドレスが不要なため、その分安く利用できるという感じです。デメリットとしては、SNIに対応していないウェブブラウザがあるということが挙げられます。
特に気になるのが、Internet Explorer 7 以降(Windows XP は非対応)についてで、アクセス解析を見ると、Windows XP ユーザーは少数まだ存在しているようですが、Windows XP のサポートが2014年に終了したことを考えると、今後は減少方向なのでWindows XP は切り捨ててもいいと思います。現在の主要ブラウザはSNIに対応しているので、古いブラウザに対応していないことが導入する上での障害にはならず、年間1,000円からという低価格でSSLを導入できるメリットの方が大きいのではないでしょうか。

非SSLの既存のサイトを常時SSL化する場合は、http://からhttps://に301リダイレクトしたり、HTTPで読み込んでいるコンテンツ(画像やJavaScriptやCSSファイルなど)を警告が出ないように修正したりと、細かい作業をしなければいけませんし、せっかく集めたFacebookや、Twitterや、はてなブックマーク等のソーシャルシェア数はURLが変わるためリセットされ「0」になってしまいます。このように後からSSL化する場合、ハードルが上がります。

また、将来的にGoogle ChromeでHTTPSではないサイトに警告を発するようになるかもしれません。

Google Chrome ブラウザが、HTTPSではないサイトに対して警告を発するように将来的になるかもしれません。
引用元:https://www.suzukikenichi.com/blog/google-chrome-may-warns-against-non-http-sites-in-the-future/

また、iOS 9 から搭載された新機能に App Transport Security(ATS)というものがあり、ATSの機能が有効なWebViewアプリから、HTTP のページにアクセスができなくなるということで、この先HTTP接続しかできない場合にいろいろと問題となるケースが増えてくるかもしれません。

このような現状を考えると、低価格でSSLを導入できる今、本気で運営し長く続けていきたいサイトで、新規に作成する場合は、サイト丸ごと常時SSL化で作成するのが無難ではないかと思います。
レンタルサーバーによるかもしれませんが、エックスサーバーの場合だと、SSLの導入はエックスサーバーでSSLサーバー証明書のインストール作業をやってくれるので難しくありませんし、SSL化したからといって、サイト作りが難しくなるということはなく、「プライバシーが保護されません」という警告が出ないようHTTPのファイルを読み込まないことに気をつければ、HTTPのサイトを作っている時と同じように作れます。SSL用のディレクトリとかはなく、HTTP のサイトと同じようにpublic_htmlにファイルをアップロードすればhttps://でアクセスできます。 “エックスサーバーで年間1000円~SNI SSLで独自SSLを使う” の続きを読む

Contact Form 7 リアルタイムでエラーをチェックをする方法

最近よく目にするEFO(エントリーフォーム最適化)、その中で重要でかつ、あまり実践されていないのが、ユーザーがどの入力項目にエラーがあるのかリアルタイムで把握できる機能ではないでしょうか。僕もよく、入力が完了し送信ボタンをクリックした後に、「全角で入力してください」とエラーを出されイライラさせられるフォームに出会います。僕は慣れているのでこれでフォームから離脱することはないのですが、あまりパソコンやスマホに慣れていない人は面倒くさくなって離脱してしまうという気持ちが分かります。

ですので、WordPressのお問い合わせフォームなどのメールフォームプラグインでよく使われているContact Form 7 にリアルタイムでエラーをテェックできる機能を追加できないかと思いやってみました。今のところ問題なく動作しています。

“Contact Form 7 リアルタイムでエラーをチェックをする方法” の続きを読む

全天球360°カメラ Bublcamレビュー

Kickstarterでbackした全天球360°カメラ「Bublcam」が届きました。
当初は2014年5月に届く予定でしたが、延びに延び2015年8月にようやく届きました。もう届かないのではないかと思っていたのでホッとしています。

360°画像&動画がボタンを1つ押すだけで作れてしまうのがBublcamです。

“全天球360°カメラ Bublcamレビュー” の続きを読む

WordPress プラグインなしでソースコードをシンタックスハイライトさせる方法 highlight.js

WordPressで記事の中にソースコードをシンタックスハイライトさせる方法としてSyntaxHighlighter Evolved Crayon Syntax Highlighterといったプラグインを利用する方法が一般的だと思いますが、「highlight.js」というJavaScript ライブラリを使う方法もあります。

highlight.jsを使うメリットとしては、軽量でサクサク表示してくれるということが1番目・・・というかこれにつきると思います。また、WordPressプラグインをむやみに増やしたくないという人も多いかと思いますので、そんな人にもhighlight.jsはおすすめです。バージョンアップも頻繁に行われており、新しいスタイルや言語も追加されていっているので気分転換にちょこちょこスタイルを変えて楽しむということもできます。

“WordPress プラグインなしでソースコードをシンタックスハイライトさせる方法 highlight.js” の続きを読む