WordPress のセキュリティを強化する手段の一つに、管理画面へのログインを 2 段階認証(2 要素認証)にする、という方法があります。
WordPress は、アクセス数・検索順位・運営期間などに関係なく外部から攻撃されるので、運営初期から対策しておきましょう。
本記事では、WordPress のログインを 2 段階認証にできるプラグインを 4 つご紹介しています。いずれも導入は簡単で、「Google 認証システム(Google Authenticator)」を併用するため安心です。
Headline
WordPress 2 段階認証の概要と準備
WordPress に 2 段階認証を導入する流れは、どのプラグインでもほぼ同じです。
- スマホ・タブレットに「Google Authenticator」アプリをインストール
- WordPress に 2 段階認証用プラグインをインストール・有効化
- 管理画面で表示される QR コードを「Google Authenticator」で読み取る
- WordPress ログイン時に「Google Authenticator」で発行されるワンタイムパスワードも入力
「Google Authenticator」は、以下のリンクから入手できます。
「Google Authenticator」の使い方
Google Authenticator アプリを開くと、以下のように表示されます。
2 段階認証を設定したサービス別にワンタイムパスワードが発行されるので、パスワードを求められたらアプリを開いて確認・入力します。面倒かもしれませんが、アカウント乗っ取りのリスクを考えればやむを得ませんね。
新規登録するときは、右下の「+」をクリックして QR コードを読み取ります。
WordPress 2 段階認証プラグイン 4 選
WordPress 2 段階認証用のプラグインを 4 つご紹介します。
いずれも、管理画面の[プラグイン]-[新規追加]よりプラグイン名を検索してインストール・有効化すれば OK です。
Two Factor Authentication
Two Factor Authentication は、「Google Authenticator」アプリを使った 2 段階認証を手軽に導入できるプラグイン。
総合セキュリティプラグイン All-In-One Security の機能の一部を取り出した形になっているようです。
管理者用の設定は、[設定]-[Two Factor Authentication]から行います。権限別にコントロールできるなど、最低限の機能がある感じですね。
設定画面の下のほうにある「Encrypt keys in database」を有効化しておくと、データベースに保存されている秘密キーが暗号化されます。
ハッキングによりデータベースに侵入されることもあるので、有効化しておいたほうが安心です。
QR コードは、管理画面サイドバーに追加される「Two Factor Auth」に入ると表示されます。Google Authenticator アプリで読み込んで追加しましょう。
ログイン画面でいつもどおりユーザー名・パスワードを入力すると、ワンタイムパスワード入力画面が表示されます。アプリでパスワードを確認してください。
無料版は、ログインのたびにワンタイムパスワードを求められます。
「信頼できるデバイス」を登録するには、有料版(19 ポンド / 年)にしなければなりません。とりあえず 2 段階認証を試してみたい、という場合はよいかも。
Two-Factor
Two-Factor は、先ほどの Two Factor Authentication よりちょっと高機能です。アプリのほか、認証コードのメール送信や使い捨てバックアップコードの発行ができます。
スマホを紛失した場合、または手元にない状況でログインするときに便利ですね。
専用の設定画面はなく、プロフィール画面下部に「Two-Factor 設定」が追加されます。
Google Authenticator アプリをメインとし、メール・使い捨てコードは予備にしておくのがよいと思います。
ちなみに、「FIDO U2F 秘密鍵」というのは、USB セキュリティキーや NFC 対応のスマホでロック解除する機能です。物理デバイスがないとログインできないよう、ガチガチに固めたいならよいかもしれません。
「信頼できるデバイス」を登録する手段はなく、毎回ワンタイムパスワードを入力するのがちょっと手間です。
WP 2FA
WP 2FA は、ウィザードに従って設定できる初心者向けのプラグインです。
プラグインを有効化すると、すぐ以下のような画面が表示されるので、「始めましょう!」から進めていけば OK です。
二段階認証方式・代替方式(無料版はバックアップコードのみ)・ユーザー選択、と続いていきます。一部英語となっていますが、初期値のまま進めていって問題ありません。
ウィザード終了後、プロフィール画面に移動します。二段階認証の方式を選択しましょう。左側がアプリです。
アプリで QR コードを読み込んで登録。
最後に予備のバックアップコードを生成して完了です。バックアップコードはそのまま管理人のメールアドレスに送れるので、コピペ保存しなくても OK。
「信頼できるデバイス」の登録機能は、有料版の PROFESSIONAL プラン以上で使えます(59 ドル / 年)。
二段階認証にするだけの目的なら、ちょっと高いですね。チームで運営している大手サイト向けと考えたほうがよいでしょう。
Wordfence Login Security
Wordfence Login Security は、総合セキュリティプラグイン Wordfence からログインセキュリティ部分のみ取り出したプラグインです。
設定画面は、サイドメニューの「Login Security」から。「Settings」を見ると、さすが有名セキュリティプラグインの派生版だけあって、必要な機能がほぼそろっています。
なかでも、「信頼できるデバイス」の登録ができるのはポイントが高いですね。
「Two-Factor Authentication」タブに移動して、アプリへの登録とバックアップコード保存を行っておきましょう。
右下の入力欄にアプリのワンタイムパスワードを入力すれば設定完了です。
ログイン画面でワンタイムパスワードを入力するさい、「Remember for 30 days」にチェックを入れておけば、30 日間はワンタイムパスワード入力不要となります。
WordPress 2 段階認証プラグインに関する FAQ
どのプラグインがおすすめですか?
総合的に見れば、無料版でも信頼できるデバイスを登録できる「Wordfence Login Security」が最も高機能でおすすめです。
初心者向けなら、設定がわかりやすい「Two-Factor」か「WP 2FA」がよいと思います。ただし、毎回ワンタイムパスワードを入力するのが手間かもしれません。
プラグインが動きません
他のプラグインと干渉している可能性があります。
とくに、ログインを監視するプラグインと相性が悪いので、ほかにセキュリティ系プラグインを導入しているならそちらを無効化してみてください。
2 段階認証を止めるときはどうすればよいですか?
先に管理画面から 2 段階認証プラグインを削除してください。その後、「Google Authenticator」の登録を削除します。
順番が前後するとログインできなくなってしまうかもしれないのでご注意ください。
ログインできなくなってしまいました
メール認証またはバックアップコードがあるなら、そちらを試してみてください。
どの手段を試してもログインできないときは、FTP からプラグインを停止または削除すれば通常どおりログインできるようになります。
まとめ
WordPress のセキュリティを強化するために、2 段階認証に頼るだけではなくこまめなパスワードの変更も心がけてください。パスワードは、大文字・小文字・数字・記号を使った複雑なものがおすすめです。
また、どんなにログイン画面を強化しておいても、WordPress 本体やプラグインを更新していなければ裏口から侵入される可能性があります。
【事例公開】 WordPress がハッキングされたときの復旧方法
がんばって作り上げたブログは、自分の手でしっかり守りましょう。もし何らかのトラブルが起きたら、お気軽にご相談ください。