WordPressは手軽にWebサイトやWebサービスを構築できる優れたプラットフォームだが、その管理者パネルがサイバー攻撃者に狙われているということも忘れてはならない。WordPress向けのセキュリティソリューションを提供しているSucuriの研究者Ben Martin氏は、WordPressのセキュリティを向上させるために、管理者パネルのログインに多要素認証(2要素認証、2段階認証)をデフォルト構成として導入することを提唱している。
WordPressのデフォルト構成は、その利便性を追求する代償として、次のようなのセキュリティ上の問題を抱えているとMartin氏は指摘している。
- 管理パネルのログインページが、誰でもアクセスできる状態で公開されている
- ログイン試行の失敗回数に制限がない
- 多要素認証がない
- 「Display name publicly as」(名前を表示する)オプションのデフォルト設定がユーザー名と同じになっている
これらの条件がそろうと、ブルートフォース攻撃を受けやすい環境が作成されることになる。中でも、セキュリティの強化に大きくつながるのが多要素認証である。いまやWebサイトのセキュリティを確保する上で必須とも言える要素になっている多要素認証だが、WordPressのデフォルト構成には含まれておらず、導入するには追加のプラグインが必要となる。
Martin氏は、多要素認証を有効にするための有用なプラグインの例としてオープンソースの「JetPack」を挙げ、これをデフォルト構成に追加するべきと主張している。しかし、WordPress.orgの開発チームは、エンドユーザーの利便性に関する懸念から、このことには消極的なようだ。
多要素認証をデフォルトで有効にするか、そこまでできなくてもインストール後にすぐに利用可能なオプションとして提示すれば、WordPressサイトを運用する上でのセキュリティは大幅に改善され、Web全体にも大きなメリットをもたらすことになると同氏は言う。WordPressサイトの管理者としては、たとえデフォルトには用意されていなかったとしても、いま一度セキュリティ設定を見直し、多要素認証の導入を検討することが推奨されている。