【WordPress】2FA(二段階認証)ログインを超簡単に実装出来るプラグイン「Two Factor Authentication」の導入と設定方法

launcher-kit-frame-2

WordPressのセキュリティをツーランク上のレベルにあげる対策に二段階認証があります。

最近はGoogleなどの超有名サービス、各種ネットバンクでも二段階認証が導入されていることから手軽さとセキュリティ性の高さを兼ね備えている背景が読み取れます。

今回はそんな二段階認証をWordPressのダッシュボード時に導入することができるプラグイン「Two Factor Authentication」をご紹介いたします。

解決できる悩み
  • WordPressのセキュリティレベルを底上げしたい
  • WordPressサイトに二段階認証を導入したい

Two Factor Authenticationの機能

Two Factor Authenticationで導入することができる二段階認証は、様々なサイトで導入されている「限られたデバイスだけで見ることが出来る、30秒ごとにランダムに生成される6桁の数字を入力する」パターンのものです。

この方式はAmazonやFacebookなど誰もが利用するサービス、PayPalやStripeなどの決済サービス、bitFlyerやBinanceなどの暗号資産やウォレットなどグローバルに採用されているので見覚えがある方も多いでしょう。

Two Factor Authenticationのインストールと設定が完了すればWordPressサイトにログインする際に同様の二段階認証を簡単に導入することができます。

なお、メール認証やSMS認証には対応していません。

なぜTwo Factor Authenticationにしたか?

二段階認証を導入できるプラグインはTwo Factor Authentication以外にもあります。
いくつか他のプラグインも試してみましたが「ログイン時に二段階認証を導入したい」というニーズを最もシンプルに満たせるのがTwo Factor Authenticationでした。

また、このプラグインの作者はWordPressのバックアッププラグインとして非常に人気のUpdraftPlusと同じ開発者であること、最新のWordPressへの互換性があること、一定のレビュー評価を得ていることなども採用する理由でした。

Two Factor Authenticationのインストールと初期設定

では、さっそくTwo Factor Authenticationの導入手順をご説明いたします。

補足

Two Factor Authenticationはユーザーの人数分だけ設定の手間が必要なため、大人数で運用するWordPressサイトには不向きな面もあります。詳しくはこちらの章で説明しています。

Two Factor Authenticationのインストール

まず、Two Factor Authenticationプラグインをプラグイン新規追加画面からインストールしましょう。

Two Factor Authenticationというストレートな名前なので他のプラグインが上位に表示されるとは思いますが、この鍵マークを目印に間違えないように気をつけてインストールしてください。

launcher-kit-wordpress2fatwo-factor-authentication
プラグインを有効化

プラグインのインストールが完了したら、忘れずに有効化ボタンをクリックしておきましょう。

launcher-kit-wordpress2fatwo-factor-authentication
シークレットキーを二段階認証用アプリに保存する

Two Factor Authenticationはプラグイン自体を有効化しただけでは二段階認証は有効になりません。
これから二段階認証を有効にしていくのですが、念のため事前にシークレットキーを認証アプリに登録しておきましょう!

  1. サイドバー→Two Factor Authをクリックして設定画面へ
  2. 画面中部〜下部に表示されているQRコードをシークレットキー保管アプリ(Google Authenticatorなど)で読み込む
launcher-kit-cleanshot-2022-04-19-at-23-45-202x
二段階認証をEbabled(有効)に

シークレットキーの保存が完了したら管理画面の二段階認証を有効にしましょう

  1. Activate two factor authenticationのEnabledにチェック
  2. 変更を保存をクリック
launcher-kit-cleanshot-2022-04-20-at-00-01-032x-2
完了!

ここまで進めば二段階認証の設定は完了です。
この時点でログイン画面にアクセスしてユーザー名とパスワードを入力して次へ進むと、以下の画面に切り替わるようになります。

  1. 認証アプリが30秒ごとに生成する6桁のコードを入力する
  2. ログインボタンをクリック
launcher-kit-cleanshot-2022-04-20-at-00-08-382x

これで二段階認証の導入が完了です!おつかれさまでした。

注意点

セキュリティコードを紛失すると面倒なことになる

Two Factor Authenticationが発行したセキュリティコードを紛失するとWordPressサイトの管理画面にログインできなくなりますのでご注意ください。
また、セキュリティコードの読み込み時に使用したQRコードのスクショなどは保管しないほうが良いでしょう。

もし紛失したときには…

もしセキュリティコードを紛失してしまった場合にはFTPクライアントや、サーバーの管理画面からブラウザでアクセスできるファイルエクスプローラーなどを利用して/wp-content/plugins/two-factor-authenticationごと削除しましょう。

これでプラグインごと削除することができるので二段階認証を無効にすることができます。

ユーザーの人数分だけ設定が必要

Two Factor Authenticationは二段階認証の有効とシークレットキーの登録がユーザー毎に必要です。
有料プランでは一括の設定ができる可能性がありますが、私は未検証です。

大人数のチームで運用するケース、不特定多数の寄稿者で運用するケースでは他のプラグインを検討したほうが良いかもしれません。

さらにセキュリティをあげるには

二段階認証だけでもかなりのセキュリティレベルの向上が見込めますが「さらにセキュリティを強固にしたい」という場合にはログインURLの変更が有効な手段です。

ログインURLをセキュアにすることでそもそも攻撃されにくくなるので、二段階認証と合わせると悪質な攻撃で管理画面へのログインを突破される可能性は限りなくゼロに近く出来るでしょう。

launcher-kit-wordpress-how-to-install-and-use-the-light-weight-plug-in-wps-hide-login-which-can-change-the-login-url-wordpressurlwps-hide-login【WordPress】ログインURLを変更できる軽量プラグイン「WPS Hide Login」のインストール方法と使い方

前の記事

launcher-kit-wordpress-how-to-install-and-use-the-light-weight-plug-in-wps-hide-login-which-can-change-the-login-url-wordpressurlwps-hide-login
【WordPress】ログインURLを変更できる軽量プラグイン…

次の記事

【無料・商用可】シンプル&モダンなイラストが無料で使…
launcher-kit-available-for-free-and-commercial-simple-and-modern-illustrations-of-the-ultra-blue-site-socosts-launcher-kit-available-for-free-and-commercial-simple-and-modern-illustrations-of-the-ultr