WordPress のセキュリティを強固なものにする手段の一つに、管理画面へのログインを 2 段階認証にする、という方法があります。
不正ログインの試みはアクセス数や検索順位に関係なく行われるので、今のうちに対策しておくのがおすすめです。
本記事では、WordPress のログインを 2 段階認証にできるプラグインを 4 つご紹介しています。いずれも導入は簡単で、「Google 認証システム」アプリを併用するため安心です。
Headline
WordPress 2 段階認証の概要と準備
WordPress に 2 段階認証を導入する流れは、どのプラグインでもほぼ同じです。
- 「Google 認証システム」が使える端末(スマホ・タブレット)にアプリをインストール
- WordPress に 2 段階認証用プラグインをインストールし有効化
- 管理画面で表示される QR コードを「Google 認証システム」で読み取る
- WordPress ログイン時に「Google 認証システム」で発行されるワンタイムパスワードも入力
「Google 認証システム」ダウンロード
ご利用の機種(スマホ or タブレット)に合わせて、以下のリンク先よりアプリをダウンロード・インストールしてください。
WordPress 以外にも様々なサービスで使えるので、2 段階認証に対応しているところはすべて利用しておいたほうが安心です。
Google(Gmail)や Twitter の乗っ取りは、わりと身近でも起こっていることですからね。対岸の火事と考えず、すぐやっておきましょう。
「Google 認証システム」の使い方
「Google 認証システム」アプリを開くとこのように表示されます。
2 段階認証を設定したサービス別にワンタイムパスワードが発行されるので、パスワードを求められたらアプリを開いて確認・入力します。面倒かもしれませんが、アカウントが乗っ取られることを考えれば苦になりません。
新規登録するときは右下の「+」をクリックして QR コードを読み取るだけです。
WordPress 2 段階認証プラグイン 4 選
WordPress 2 段階認証用のプラグインを 4 つご紹介します。
いずれも、管理画面の[プラグイン]-[新規追加]よりプラグイン名を検索してインストール・有効化すれば OK です。
Two Factor Authentication
ja.wordpress.orgTwo Factor Authentication は、「Google 認証システム」アプリを使った 2 段階認証を手軽に導入できるプラグインです。
管理者用の設定は、[設定]-[Two Factor Authentication]から行えます。権限別にコントロールできるなど、最低限の機能がある感じですね。
アプリで読み取る QR コードは、管理画面サイドバーに追加される「Two Factor Auth」に入ると表示されます。
設定後ログインしようとすると、通常の「ユーザー名」「パスワード」入力後にワンタイムパスワード入力画面が表示されます。
無料版では、ログインのたびにワンタイムパスワードが必要となります。
「信頼できるデバイス」を登録するには有料版(19 ポンド~)にしなければなりません。
Two-Factor
Two-Factor は「Google 認証システム」アプリのほか、認証コードのメール送信や使い捨てバックアップコードの発行ができます。
専用の設定画面はなく、プロフィール画面下部に「Two-Factor 設定」が追加されます。
メール送信などを予備として設定しておけば、「Google 認証システム」を入れた端末が手元にないときでもログイン可能です。
FIDO Universal 2nd Factor (U2F) にも対応しているため、USB セキュリティキーや NFC 対応のスマホでロック解除することもできます。
「信頼できるデバイス」を登録する手段はなく、毎回ワンタイムパスワードを入力しなければなりません。
Google Authenticator – WordPress Two Factor Authentication (2FA)
Google Authenticator – WordPress Two Factor Authentication(miniOrange 2 Factor Authentication)は、miniOrange にユーザー登録して使用します。
「Google Authenticator」の「Configure」をクリックして登録しましょう。
ユーザー登録後の画面で、以下のように設定を進めます。
- 「Google Authenticator」を選択
- 「Google 認証システム」に表示する名前を選択
- 「Google 認証システム」で QR コードを読み取る
- 「Google 認証システム」で表示されたワンタイムパスワードを入力
設定完了後、「Enable 2FA prompt on the WP Login Page」にチェックを入れておきます。
これでログイン画面にワンタイムパスワード入力欄が表示されます。
※チェックを入れない場合、ユーザー名・パスワード入力後に別画面でワンタイムパスワードを入力する形になります
このほか、「質問と答え」や「miniOrange 専用アプリ」などを 2 段階認証として設定できます。
予備として設定しておくとよいかもしれませんが、「質問と答え」は英語ですし、わざわざログインのためだけに専用アプリを入れるのもどうかなとは思います。
「信頼できるデバイス」を登録するには有料版(49 ドル)が必要です。
Wordfence Security
Wordfence Security はセキュリティ総合プラグインで、その一部として 2 段階認証ログイン機能が用意されています。
管理画面サイドバー[Wordfence]-[Login Security]から設定画面に入り、以下の手順で設定しましょう。
- 「Google 認証システム」で QR コードを読み取る
- 「Google 認証システム」で表示されたワンタイムパスワードを入力
- 「ACTIVATE」をクリック
右側にはリカバリー用の使い捨てコードが表示されていますが、こちらは ACTIVATE をクリックするとダウンロードを促されるので念のため保存しておいてください。「Google 認証システム」から誤って削除してしまったときなどに使うものです。
このプラグインは、無料版でも「信頼できるデバイス」を登録できます。
[Wordfence]-[Login Security]から「Settings」タブに移動し、「Allow remembering device for 30 days」にチェックを入れて保存すれば OK です。
ログイン時にユーザー名とパスワードを入力したあとワンタイムパスワードを求められるので、そのさいに「Remember 30 days」にチェックを入れておきましょう。
同じ PC の同じブラウザでログインするとき、30 日間ワンタイムパスワードが不要となります。
WordPress 2 段階認証プラグインに関する FAQ
個人ブログで利用するなら「Wordfence」がおすすめです。無料版でも信頼できるデバイスを登録できるので、いつも同じ PC で管理画面にログインしているなら手間が省けます。ただし、他のセキュリティ系プラグインを入れていると干渉する可能性があり、設定画面が複雑なのも難点です。
毎回ワンタイムパスワードを入力するのが手間ではなく、かつ予備のログイン方法を用意しておきたい場合は「Two-Factor」がよいと思います。
何らかのプラグインと干渉している可能性があります。ログインを監視するプラグインを併用していないか確認してみてください。
いくつかテストしたところ、「Crazy Bone」を入れていると動作しませんでした。
管理画面から 2 段階認証プラグインを削除してください。その後、「Google 認証システム」の登録を削除します。
プラグインを削除する前に「Google 認証システム」を削除すると、ログインできなくなってしまうかもしれないのでご注意ください。
使い捨てバックアップコードなどを使用してください。何をどうしてもログインできない状態になったのであれば、FTP で 2 段階認証プラグインを削除すれば大丈夫です。
プラグインは[wp-content]-[plugins]ディレクトリ内にあります。
まとめ
WordPress のセキュリティを高めるために、2 段階認証に頼るだけではなくこまめなパスワードの変更も心がけましょう。
また、ログイン画面を強化しておいても WordPress 本体やプラグインを更新していなければ危険です。玄関をしっかり施錠したまま、窓を開けっぱなしで出かけているようなものですからね。
更新されていないプラグインが原因でバックドアを仕掛けられる事例は少なくありません。
大切に育ててきた WordPress ブログは自分でしっかり守りましょう。
それでは、また。