【Two-Factor】WordPressに2段階認証を導入してセキュリティ強化!

スマホの認証アプリを活用して管理画面にログインガジェット
スマホの認証アプリを活用して管理画面にログイン

ブログを運営している方の多くがWordPressを利用していることでしょう。

またご自分や会社のホームページをWordPressをベースにして構築しているのもよく見かけます。

このCMSは利用者が多くてメリットも多いのですが、その反面で悪意のある第三者に狙われやすいという危険性があることを認識しておく必要があります。

あなたは不正にログインされないよう対策をきちんとしていますか?

管理画面にログインするにはパスワードが必須だし。

これで大丈夫でしょ?

いえいえ、今はどこでパスワードが漏洩するか分かりません。

悪意のある第三者に知られたらコンテンツすべてを壊されることだってあり得ます。

がんばって構築したサイトを無茶苦茶にされたら最悪・・

どんな対策したらいいんですか?

まずは「2段階認証」を導入してみてはいかがでしょうか。

この記事ではWordPressのセキュリティを強化したいと考えている方に向けて、2段階認証の導入手順と使い方について解説します。

「Two-Factor」というプラグインを活用し、わりと簡単な作業で不正ログインへの対策ができるのでオススメです。

スポンサーリンク

「Two-Factor」プラグインの導入手順

本記事では「Two-Factor」というWordPressプラグインを使って「2段階認証」を実装します。

さっそくインストールしましょう。

インストール

まずWordPressの管理画面にログインし、メニューから「プラグイン」ー「新規追加」と進んでください。

キーワードに「two factor」と入力して検索すると、「Two-Factor」という名のプラグインが見つかるはずです。

さっそく「今すぐインストール」しましょう。

「Two-Factor」プラグインのインストール
「Two-Factor」プラグインのインストール

インストール後は「有効化」してくださいね!

2段階認証を設定

つづいて「Two-Factor」の設定画面で「2段階認証」を設定します。

WordPressの管理画面において「ユーザー」ー「プロフィール」と進んでください。

ここで画面を下の方にスクロールすると「Tw-Factor 設定」という項目が見つかるはずです。

Two-Factorの設定
Two-Factorの設定

「Two-Factor」では「2段階認証」の手段として次の4つが設定できます。

  • Time Based One-Time Password (認証アプリで認証コードを生成する)
  • メール(メールで認証コードを受け取る)
  • FIDO U2F 秘密鍵(物理的なセキュリティーキーを用いて認証する)
  • バックアップ認証コード(使い捨ての認証コードを使う)

今回は認証アプリを使った2段階認証をメインに設定し、

サブとしてメールでの認証も準備しておきたいと思います。

ところでみなさんのスマホには「Google Authenticator」などの認証アプリが入っていますか?

まだの方はあらかじめインストールしておきましょう。

‎Google Authenticator
‎Google Authenticator works with 2-Step Verification for your Google Account to provide an additional layer of security when signing in. With 2-Step Verificati...read more
Google Authenticator - Apps on Google Play
Enable 2-step verification to protect your account from hijacking.

これから認証アプリを活用した2段階認証の設定を行います。

まずはスマホの認証アプリで新規アカウントを追加してください。

次にWordPressの画面(「Two-Factor設定」の部分)に表示されたQRコードを読み取りましょう。

認証アプリでQRコードを読み取り
認証アプリでQRコードを読み取り

「Time Based One-Time Password」を有効にするチェックを入れます。

つづいて認証アプリで生成された「認証コード」を入力し、「送信する」をクリックしてください。

認証アプリで生成されたコードを入力・送信して有効化
認証アプリで生成されたコードを入力・送信して有効化

これで認証アプリを活用した2段階認証が有効になりました。

これがメインの認証手段となります。

認証アプリを活用した2段階認証が有効化
認証アプリを活用した2段階認証が有効化

認証アプリが使えない場合を想定して、予備の2段階認証としてメールでの認証も設定しておきましょう。

メールを有効にするチェックを入れ「プロフィールを更新」します。

(こちらをメインに指定しないよう注意してください。)

メールによる2段階認証を有効化
メールによる2段階認証を有効化

これで次回ログインから次の2つが有効です。

  • 認証アプリを活用した2段階認証(メイン)
  • メールを活用した2段階認証(サブ)
スポンサーリンク

ログインの流れ

では、再ログインして2段階認証の動作を確認しましょう。

認証アプリを活用した2段階認証

ユーザー名とパスワードを入力してWordPressにログインをクリックます。

これまでならこの後すぐに管理画面に遷移したはずですが・・

WordPressにログイン
WordPressにログイン

その前に「認証コード」を求められます。

スマホの認証アプリで「認証コード」を確認しましょう。

認証コード入力画面
認証コード入力画面

このスマホがなければログインできないってことですね。

それなら安全そう。

あなたのスマホで生成された認証コードを入力したら「認証する」をクリックしてください。

これで管理画面にログインできたはずです。

メールを活用した2段階認証

もし認証アプリが使えないときはどうしたらいいの?

(サブとして)メールを活用した認証も設定してあるなら安心です。

認証コードを求められた際に、下にある「メール」をクリックしてください。

メールによる認証を指定
メールによる認証を指定

するとWordPress指定のアドレスにメールが送信されたはずです。

メールの内容を確認してください。

メールで受信した認証コードを入力
メールで受信した認証コードを入力

メールに「認証コード」が書かれてますね。

認証コードを上記画面に入力し、「ログイン」してください。

スポンサーリンク

どうしても2段階認証できないときの対処法

もし認証アプリでもメールでも認証できなくなったときはどうするの?

なにかしらの対処法はあるんですか?

スマホを紛失したなどの理由で"どうしても2段階認証できない"状態になることがあるかもしれません。

そのような場合はFTPソフトを使い、以下の手順で「Two-Factor」プラグインを一旦無効化してください。

①FTPソフトでサイトにログインする。

②WordPressが入ったディレクトリに移動し、「wp-content」「plugins」と進む。

③ここにある「two-factor」というディレクトリ名を別の名称にリネームする。

④リネームしたことで「Two-Factor」プラグインは無効になっている。

「Two-Factor」プラグインが無効化されたことで、ログイン時の2段階認証は動作しなくなります。

IDとパスワードのみでログインできますので、あとは適切な処置を行ってください。

まとめ

もしあなたがWordPressを活用しているなら、悪質な不正ログインからサイト(ブログ)を守るためにも「2段階認証」の導入をオススメします。

その一例として本記事では「Two-Factor」というプラグインを活用し、「認証アプリを活用した2段階認証」と「メールを活用した2段階認証」を有効にする方法を解説しました。

"備えあれば憂いなし"

よかったらお試しください。