WordPress 管理画面ログインを 2 段階認証にできるプラグイン 4 選

WordPress のセキュリティを強化する手段の一つに、管理画面へのログインを 2 段階認証(2 要素認証)にする、という方法があります。

WordPress は、アクセス数・検索順位・運営期間などに関係なく外部から攻撃されるので、運営初期から対策しておきましょう。

本記事では、WordPress のログインを 2 段階認証にできるプラグインを 4 つご紹介しています。いずれも導入は簡単で、「Google 認証システム(Google Authenticator)」を併用するため安心です。

WordPress 2 段階認証の概要と準備

厳密には「二要素認証」と「二段階認証」は意味が違います。詳細は以下のサイトをご覧ください。

二要素認証と二段階認証の違いを理解していますか?

本記事では、「2 段階認証」で統一しています。

WordPress に 2 段階認証を導入する流れは、どのプラグインでもほぼ同じです。

  1. スマホ・タブレットに「Google Authenticator」アプリをインストール
  2. WordPress に 2 段階認証用プラグインをインストール・有効化
  3. 管理画面で表示される QR コードを「Google Authenticator」で読み取る
  4. WordPress ログイン時に「Google Authenticator」で発行されるワンタイムパスワードも入力

「Google Authenticator」は、以下のリンクから入手できます。

「Google Authenticator」の使い方

Google Authenticator アプリを開くと、以下のように表示されます。

Google Authenticator アプリ
Google Authenticator

2 段階認証を設定したサービス別にワンタイムパスワードが発行されるので、パスワードを求められたらアプリを開いて確認・入力します。面倒かもしれませんが、アカウント乗っ取りのリスクを考えればやむを得ませんね。

新規登録するときは、右下の「+」をクリックして QR コードを読み取ります。

WordPress 2 段階認証プラグイン 4 選

WordPress 2 段階認証用のプラグインを 4 つご紹介します。

  • Two Factor Authentication
  • Two-Factor
  • WP 2FA
  • Wordfence Login Security

いずれも、管理画面の[プラグイン]-[新規追加]よりプラグイン名を検索してインストール・有効化すれば OK です。

Two Factor Authentication

Two Factor Authentication は、「Google Authenticator」アプリを使った 2 段階認証を手軽に導入できるプラグイン。

総合セキュリティプラグイン All-In-One Security の機能の一部を取り出した形になっているようです。

管理者用の設定は、[設定]-[Two Factor Authentication]から行います。権限別にコントロールできるなど、最低限の機能がある感じですね。

Two Factor Authentication 設定画面

設定画面の下のほうにある「Encrypt keys in database」を有効化しておくと、データベースに保存されている秘密キーが暗号化されます。

ハッキングによりデータベースに侵入されることもあるので、有効化しておいたほうが安心です。

Two Factor Authentication データベース暗号化

QR コードは、管理画面サイドバーに追加される「Two Factor Auth」に入ると表示されます。Google Authenticator アプリで読み込んで追加しましょう。

Two Factor Authentication QRコード

ログイン画面でいつもどおりユーザー名・パスワードを入力すると、ワンタイムパスワード入力画面が表示されます。アプリでパスワードを確認してください。

Two Factor Authentication 有効化後のログイン画面

無料版は、ログインのたびにワンタイムパスワードを求められます。

「信頼できるデバイス」を登録するには、有料版(19 ポンド / 年)にしなければなりません。とりあえず 2 段階認証を試してみたい、という場合はよいかも。

Two-Factor

Two-Factor は、先ほどの Two Factor Authentication よりちょっと高機能です。アプリのほか、認証コードのメール送信や使い捨てバックアップコードの発行ができます。

スマホを紛失した場合、または手元にない状況でログインするときに便利ですね。

専用の設定画面はなく、プロフィール画面下部に「Two-Factor 設定」が追加されます。

Two-Factor 設定画面

Google Authenticator アプリをメインとし、メール・使い捨てコードは予備にしておくのがよいと思います。

ちなみに、「FIDO U2F 秘密鍵」というのは、USB セキュリティキーや NFC 対応のスマホでロック解除する機能です。物理デバイスがないとログインできないよう、ガチガチに固めたいならよいかもしれません。

「信頼できるデバイス」を登録する手段はなく、毎回ワンタイムパスワードを入力するのがちょっと手間です。

WP 2FA

WP 2FA は、ウィザードに従って設定できる初心者向けのプラグインです。

プラグインを有効化すると、すぐ以下のような画面が表示されるので、「始めましょう!」から進めていけば OK です。

WP 2FA 初期画面

二段階認証方式・代替方式(無料版はバックアップコードのみ)・ユーザー選択、と続いていきます。一部英語となっていますが、初期値のまま進めていって問題ありません。

WP 2FA ウィザード

ウィザード終了後、プロフィール画面に移動します。二段階認証の方式を選択しましょう。左側がアプリです。

WP 2FA 方式を選択

アプリで QR コードを読み込んで登録。

WP 2FA QRコード

最後に予備のバックアップコードを生成して完了です。バックアップコードはそのまま管理人のメールアドレスに送れるので、コピペ保存しなくても OK。

WP 2FA バックアップコード生成

「信頼できるデバイス」の登録機能は、有料版の PROFESSIONAL プラン以上で使えます(59 ドル / 年)。

二段階認証にするだけの目的なら、ちょっと高いですね。チームで運営している大手サイト向けと考えたほうがよいでしょう。

Wordfence Login Security

Wordfence Login Security は、総合セキュリティプラグイン Wordfence からログインセキュリティ部分のみ取り出したプラグインです。

設定画面は、サイドメニューの「Login Security」から。「Settings」を見ると、さすが有名セキュリティプラグインの派生版だけあって、必要な機能がほぼそろっています。

なかでも、「信頼できるデバイス」の登録ができるのはポイントが高いですね。

Wordfence Login Security 設定画面

「Two-Factor Authentication」タブに移動して、アプリへの登録とバックアップコード保存を行っておきましょう。

右下の入力欄にアプリのワンタイムパスワードを入力すれば設定完了です。

Wordfence Login Security QRコード

ログイン画面でワンタイムパスワードを入力するさい、「Remember for 30 days」にチェックを入れておけば、30 日間はワンタイムパスワード入力不要となります。

Wordfence Login Security 有効化後のログイン画面

WordPress 2 段階認証プラグインに関する FAQ

Q

どのプラグインがおすすめですか?

A

総合的に見れば、無料版でも信頼できるデバイスを登録できる「Wordfence Login Security」が最も高機能でおすすめです。

初心者向けなら、設定がわかりやすい「Two-Factor」か「WP 2FA」がよいと思います。ただし、毎回ワンタイムパスワードを入力するのが手間かもしれません。

Q

プラグインが動きません

A

他のプラグインと干渉している可能性があります。

とくに、ログインを監視するプラグインと相性が悪いので、ほかにセキュリティ系プラグインを導入しているならそちらを無効化してみてください。

Q

2 段階認証を止めるときはどうすればよいですか?

A

先に管理画面から 2 段階認証プラグインを削除してください。その後、「Google Authenticator」の登録を削除します。

順番が前後するとログインできなくなってしまうかもしれないのでご注意ください。

Q

ログインできなくなってしまいました

A

メール認証またはバックアップコードがあるなら、そちらを試してみてください。

どの手段を試してもログインできないときは、FTP からプラグインを停止または削除すれば通常どおりログインできるようになります。

まとめ

WordPress のセキュリティを強化するために、2 段階認証に頼るだけではなくこまめなパスワードの変更も心がけてください。パスワードは、大文字・小文字・数字・記号を使った複雑なものがおすすめです。

また、どんなにログイン画面を強化しておいても、WordPress 本体やプラグインを更新していなければ裏口から侵入される可能性があります。

【事例公開】 WordPress がハッキングされたときの復旧方法

がんばって作り上げたブログは、自分の手でしっかり守りましょう。もし何らかのトラブルが起きたら、お気軽にご相談ください。

WordPress のセキュリティを強化する方法 10 選

Author

Naifix 編集部
Web コンサルティング業務を中心に、サイト制作・コンテンツ販売・メディア運営代行業務を行っております。当サイト(Naifix)では、おもにブログ初心者向けのノウハウを無料で配信しています。