ホームページやブログを運営している方の多くがWordPressを利用していることでしょう。
このCMSは汎用性が高くてメリットも多いのですが、その反面で悪意のある第三者に狙われやすいという危険性もあるのです。
あなたの大切なブログを不正ログインから守るため、何か対策を施していますか?

管理画面にはパスワードを設定してます。
これでダメですか?

いえいえ、パスワードだけでは危険です。
それがもし漏洩したらコンテンツすべてを破壊されるなんてことも・・

せっかく構築したサイトを乗っ取られたら最悪だ・・
どんな対策したらいいんですか?

まずは「2段階認証」を導入してみてはどうでしょうか。
この記事ではWordPressのセキュリティを強化したいと考えている方に向けて、2段階認証の導入手順と使い方について解説します。
「Two-Factor」という便利なプラグインがあるので、これを活用してみましょう。
「Two-Factor」プラグインの導入手順

ここででは「Two-Factor」というWordPressプラグインを利用して「2段階認証」を実装します。
さっそくインストールから始めましょう。
インストール
まずWordPressの管理画面にログインし、メニューから「プラグイン」ー「新規追加」と進んでください。
キーワードに「two factor」と入力して検索すると、「Two-Factor」 という名のプラグインが見つかるはずです。
さっそく「今すぐインストール」しましょう。


インストール後は「有効化」を忘れずに!
2段階認証を設定
つづいて「Two-Factor」の設定画面で「2段階認証」を設定します。
WordPressの管理画面において「ユーザー」ー「プロフィール」と進んでください。
ここで画面を下の方にスクロールすると「Tw-Factor 設定」という項目が見つかるはずです。

「Two-Factor」では「2段階認証」の手段として次の4つが設定できます。
- Time Based One-Time Password (認証アプリで認証コードを生成する)
- メール(メールで認証コードを受け取る)
- FIDO U2F 秘密鍵(物理的なセキュリティーキーを用いて認証する)
- バックアップ認証コード(使い捨ての認証コードを使う)

今回は認証アプリを使った2段階認証をメインとして設定し、
予備(サブ)としてメールでの認証も準備しておきたいと思います。
ところでみなさんのスマホには「Google Authenticator」などの認証アプリが入っていますか?
まだの方はあらかじめインストールしておいてください。

これから認証アプリを活用した2段階認証の設定を行います。
まずはスマホの認証アプリで新規アカウントを追加してください。
次にWordPressの画面(「Two-Factor設定」の部分)に表示されたQRコードを読み取りましょう。

「Time Based One-Time Password」を有効にするチェックを入れます。
つづいて認証アプリで生成された「認証コード」を入力し、「送信する」をクリックしてください。

これで認証アプリを活用した2段階認証が有効になりました。
これがメインの認証手段となります。

認証アプリが使えない場合を想定して、予備(サブ)の2段階認証としてメールでの認証も設定しておきましょう。
メールを有効にするチェックを入れ「プロフィールを更新」します。
(こちらをメインに指定しないよう注意してください。)


これで次回ログインから次の2つが有効となりました。
- 認証アプリを活用した2段階認証(メイン)
- メールを活用した2段階認証(サブ)

ログインの流れ

では、再ログインして2段階認証の動作を確認しましょう。
認証アプリを活用した2段階認証
ユーザー名とパスワードを入力してWordPressにログインしてみてください。
以前までならこれで管理画面に入れたはずですが・・

ここで「認証コード」の入力をを求められます。
スマホの認証アプリを起動して「認証コード」を確認しましょう。


私のスマホがなければ先に進めないという訳ね。
これなら安全そう。
あなたのスマホで生成された認証コードを入力し、「認証する」をクリックしてください。
すると管理画面に無事ログインできたはずです。
メールを活用した2段階認証

認証アプリが大事なのは分かったけど・・
もし認証アプリが使えない場合どうしたらいいの?
ログインできないのは困るなぁ。

(予備として)メールを活用した認証も設定してあれば安心です。
認証コードを求められた際に、下にある「メール」をクリックしてください。

するとWordPressに設定されたアドレスにメールが送られたはずです。
そのメールの内容を確認してみましょう。


届いたメールに「認証コード」が書かれてますね。
認証コードを上記画面に入力し、「ログイン」してください。
どうしても2段階認証できないときの対処法

もし認証アプリでもメールでも認証できないときはどうするの?
トラブルを回避する対処法はあるんですか?
スマホを紛失したなどの理由で"どうしても2段階認証できない"状態になることがあるかもしれません。
そのような場合はFTPソフトを使い、以下の手順で「Two-Factor」プラグインを一旦無効化してください。
①FTPソフトでサイトにログインする。
②WordPressが入ったディレクトリに移動し、「wp-content」「plugins」と進む。
③ここにある「two-factor」というディレクトリ名を別の名称にリネームする。
④リネームしたことで「Two-Factor」プラグインは無効になっている。
「Two-Factor」プラグインが無効化されたことで、ログイン時の2段階認証は動作しなくなります。
IDとパスワードのみでログインできますので、あとは適切な処置を行ってください。
まとめ
もしあなたがWordPressを活用しているなら、悪質な不正ログインからサイト(ブログ)を守るためにも「2段階認証」の導入をオススメします。
その一例として本記事では「Two-Factor」というプラグインを活用し、「認証アプリを活用した2段階認証」と「メールを活用した2段階認証」を有効にする方法を解説しました。
"備えあれば憂いなし"
セキュリティ対策はしっかり行なっておきましょう。