【WordPress】複数ブログの二段階認証コードを一つにまとめる

WordPressサイトを複数持っていて、全部に二段階認証(Google Authenticator)をかけています。
そうするとスマホアプリのコード一覧にサイトの数だけコードが増えて見づらいし、
該当サイトのコードを探すのがちょっと面倒……。

一つの二段階認証コードを複数WordPressで共有しても特に弊害は無い気がしたので、
データベースをいじくって一つにまとめてしまいました。

【WordPress】管理画面にログイン出来ないまま二段階認証を無効にするを書いた時
大体データベースの中身が分かったので応用技です。

MySQLから値を操作します。(ちなみに私はさくらレンタルサーバーでphpMyAdmin利用)
該当ブログのデータベースの「○○○○○( データベーステーブルの接頭辞)_usermeta」テーブルを開き、
「googleauthenticator_secret」の項目を確認。
この値がWordPressのSecretコードです。

↓WordPressの設定画面

2015-03-23_160550

要はこのコードを複数ブログで共有してしまえば二段階認証コードが一つで済むよね、という話。
二段階認証を共有したいブログの「googleauthenticator_secret」の値を同じものに書き換えます。

WordPressの管理画面からはいじれないようなので、
phpMyAdminからデータベースの値を直接編集。

2015-03-23_160258

これでスマホアプリのGoogle Authenticatorの画面も少しすっきり。
複数のWordPressサイトの二段階認証コードが一つにまとまります。

データベースの書き換えはミスると壊れるかもしれないので、慎重に、自己責任でお願いします。
(データベースの知識が無い人にはお勧めしません)

【WordPress】管理画面にログイン出来ないまま二段階認証を無効にする

インストールするタイプのWordPressで二段階認証をしています。

WordPress.comの方はバックアップコードがあるのでスマホの紛失、故障時にも対応することが出来ます。
わりと簡単。
【WordPress.com】二段階認証にしていてスマホを紛失した場合

 

インストールするタイプのWordPressではプラグインのGoogle Authenticatorで二段階認証しているのですが、バックアップコードや二段階認証無効キーなどが発行できません。

スマホが手元にないとログインできないのでセキュリティは強くなりますが、想定外のスマホ紛失、故障時にどう対応したらいいの?としばらく悩む。どうググってもこれをクリアしたという記事が見つけられない。

スマホが無くなったらサイトを諦めるしかないのかな……そんなバカな。「仕様だから仕方ないよね」って納得できる人しかWordPress使ってないの?否!!

 

少なくとも私が我慢ならないので色々考えてみた結果、
データベースにログイン出来るなら値の書き換えで何とかできるんじゃないかという考えに辿り着いた。

早速MySQLを確認。(ちなみにさくらレンタルサーバーでphpMyAdmin利用)
該当データベースの「○○○○○( データベーステーブルの接頭辞)_usermeta」テーブルを表示させてみる。

ずらーっと出てくる中にmeta_keyが「googleauthenticator」で始まるものがいくつかある。
ここに二段階認証の情報が入っているはず。

2014-08-20_220328

中でも「googleauthenticator_enabled」の値がenabledになっているのが気になる。
何かがenabled(有効化)になってるという事は、disable(無効化)したら二段階認証が無効になりそうな気がする。

やってみた。

2014-08-20_221619

実行したらさっそくWordPressのログイン画面へ。
ユーザ名とパスワードを入力し、二段階認証コードの入力欄は空白のままでログインする事が出来ました。

でも正攻法ではないからか、ちょいちょいセッションが切れてログイン画面に戻されたりしました。
ログイン出来てるうちにさっさとダッシュボードからGoogle Authenticatorを無効にして更新するなり、新しいSecretキーを生成して二段階認証を設定するなりします。

実はうっかりSecretキーを更新したのに二段階認証アプリに取り込む前に画面を閉じてしまい、
二段階コードが噛み合わなくてログイン出来なくなってました。
ダッシュボードに入れないまま二段階認証を無効にできないものかと悩み、このような対応で乗り切ったわけです。

もしこの記事をご覧になってデータベースを書き換えようと思った方は自己責任でお願いします。
データベースを直接書き換えるのはリスクもあるので、それなりの覚悟とバックアップが必要です。

【WordPress.com】二段階認証にしていてスマホを紛失した場合

このブログはWordPress.comで二段階認証にしています。

スマホにGoogle認証システムアプリを入れてコード生成してるんですが、スマホを紛失した場合どうすればいいんだろ?と疑問に思ったのでスマホを失くした体で作業してみました。

※インストール型のWordPressはこちらをご覧下さい。
【WordPress】管理画面にログイン出来ないまま二段階認証を無効にする
 

WordPress.comで二段階認証の設定が済んでいるのを前提として話を進めます。

まずはバックアップコードを取得します。
管理画面右上にある自分のユーザーアカウントからアカウント設定画面に移動し「セキュリティ」を開きます。

2014-08-20_171851

二段階認証が住んでいてバックアップコードの取得が終わってると上の画面ような状態です。

バックアップコードを取得するには『バックアップコードを生成』をクリックするだけ。印刷して大切に保管します。
セキュリティー設定画面でバックアップコードと「印刷済み」のテキストを入力するよう促されるのでそれに従います。

2014-08-20_172822

 

スマホを失くした!!

準備万端なのでスマホを失くしたシチュエーションになってみます。

どうしよう、スマホでコード生成できないしSMSも受け取れないからWordPress.comにログインできないよーと困ります。(実際にスマホ失くしたらもっと別のことを最初に気にするはずだけども)

2014-08-20_173836

ここで大切にしていたバックアップコードをここぞとばかりに取り出します。
バックアップ認証コード(8桁)を入力していとも簡単にログイン。ちなみに一度ログインに使ったバックアップコードは使用できなくなります。

備えあれば憂いなし。スマホを失くしてもバックアップコードをきちんと保管しておけばこんなに簡単にログインすることができました。何かが起こる前に準備をしておくのは大切な事ですね。

他にも二段階認証にしているWebアプリがいくつかあるので全部きちんと対策を取っておかなければと心に誓いました。