2019/10/15  18 Shares

WordPress管理画面ログインを2段階認証にできるプラグイン4選

二段階認証

WordPress のセキュリティを強固なものにする手段の一つに、管理画面へのログインを 2 段階認証にする、という方法があります。

不正ログインの試みはアクセス数や検索順位に関係なく行われるので、今のうちに対策しておくのがおすすめです。

本記事では、WordPress のログインを 2 段階認証にできるプラグインを 4 つご紹介しています。いずれも導入は簡単で、「Google 認証システム」アプリを併用するため安心です。

🔒 WordPress のログインを二段階認証にしてブログを守りましょう クリックしてツイート

WordPress 2 段階認証の概要

WordPress に 2 段階認証を導入する流れは、どのプラグインでもほぼ同じです。

  1. 「Google 認証システム」が使える端末(スマホ・タブレット)にアプリをインストール
  2. WordPress に 2 段階認証用プラグインをインストールし有効化
  3. 管理画面で表示される QR コードを「Google 認証システム」で読み取る
  4. WordPress ログイン時に「Google 認証システム」で発行されるワンタイムパスワードも入力

Google 認証システムのインストール方法はこちら

「Google 認証システム」はこのように表示されます。

Google 認証システム

2 段階認証を設定したサービス別にワンタイムパスワードが発行され、新規登録するときは右下の「+」をクリックして QR コードを読み取るだけです。

各プラグインの基本的な部分は同じですが、その他でちょっとした違いがあるので、それぞれの環境に合わせて導入しましょう。

WordPress 2 段階認証プラグイン 4 選

インストール・有効化までの手順はどれも同じなので割愛します。

管理画面の[プラグイン]-[新規追加]よりプラグイン名を検索してインストール・有効化すれば OK です。

Two Factor Authentication

Two Factor Authentication

Two Factor Authentication は、「Google 認証システム」アプリを使った 2 段階認証を手軽に導入できるプラグインです。

管理者用の設定は、[設定]-[Two Factor Authentication]から行えます。権限別にコントロールできるなど、最低限の機能がある感じですね。

Two Factor Authentication 管理者設定

2段階認証を適用する権限を選択できる

アプリで読み取る QR コードは、管理画面サイドバーに追加される「Two Factor Auth」に入ると表示されます。

Two Factor Authentication で発行されるQRコード

設定後ログインしようとすると、通常の「ユーザー名」「パスワード」入力後にワンタイムパスワード入力画面が表示されます。

Two Factor Authentication 有効化後のログイン画面

無料版では、ログインのたびにワンタイムパスワードが必要となります。

「信頼できるデバイス」を登録するには有料版(19 ポンド~)にしなければなりません。

Two-Factor

Two-Factor

Two-Factor は「Google 認証システム」アプリのほか、認証コードのメール送信や使い捨てバックアップコードの発行ができます。

専用の設定画面はなく、プロフィール画面下部に「Two-Factor 設定」が追加されます。

Two-Factor 設定画面

「Google 認証システム」以外に予備を設定できる

メール送信などを予備として設定しておけば、「Google 認証システム」を入れた端末が手元にないときでもログイン可能です。

FIDO Universal 2nd Factor (U2F) にも対応しているため、USB セキュリティキーや NFC 対応のスマホでロック解除することもできます。

「信頼できるデバイス」を登録する手段がないため、毎回ワンタイムパスワードを入力しなければなりません。

Google Authenticator – WordPress Two Factor Authentication (2FA)

Google Authenticator – WordPress Two Factor Authentication (2FA)

Google Authenticator – WordPress Two Factor Authentication(miniOrange 2 Factor Authentication)は、miniOrange にユーザー登録して使用します。

「Google Authenticator」の「Configure」をクリックして登録しましょう。

miniOrange Google Authenticator

ユーザー登録後の画面で、以下のように設定を進めます。

  1. 「Google Authenticator」を選択
  2. 「Google 認証システム」に表示する名前を選択
  3. 「Google 認証システム」で QR コードを読み取る
  4. 「Google 認証システム」で表示されたワンタイムパスワードを入力

miniOrange 設定画面

設定完了後、「Enable 2FA prompt on the WP Login Page」にチェックを入れておきます。

Enable 2FA prompt on the WP Login Page

これでログイン画面にワンタイムパスワード入力欄が表示されます。

※チェックを入れない場合、ユーザー名・パスワード入力後に別画面でワンタイムパスワードを入力する形になります

miniOrange 2 Factor Authentication 設定後のログイン画面

このほか、「質問と答え」や「miniOrange 専用アプリ」などを 2 段階認証として設定できます。

予備として設定しておくとよいかもしれませんが、「質問と答え」は英語ですし、わざわざログインのためだけに専用アプリを入れるのもどうかなとは思います。

「信頼できるデバイス」を登録するには有料版(49 ドル)が必要です。

Wordfence Security

Wordfence Security – Firewall & Malware Scan

Wordfence Security はセキュリティ総合プラグインで、その一部として 2 段階認証ログイン機能が用意されています。

管理画面サイドバー[Wordfence]-[Login Security]から設定画面に入り、以下の手順で設定しましょう。

  1. 「Google 認証システム」で QR コードを読み取る
  2. 「Google 認証システム」で表示されたワンタイムパスワードを入力
  3. 「ACTIVATE」をクリック

Wordfence Login Security セットアップ

右側にはリカバリー用の使い捨てコードが表示されていますが、こちらは ACTIVATE をクリックするとダウンロードを促されるので念のため保存しておいてください。「Google 認証システム」から誤って削除してしまったときなどに使うものです。

このプラグインは、無料版でも「信頼できるデバイス」を登録できます

[Wordfence]-[Login Security]から「Settings」タブに移動し、「Allow remembering device for 30 days」にチェックを入れて保存すれば OK です。

Wordfence の 2 段階認証を 30 日間保存

ログイン時にユーザー名とパスワードを入力したあとワンタイムパスワードを求められるので、そのさいに「Remember 30 days」にチェックを入れておきましょう。

Wordfence 二段階認証有効化後のログイン画面

同じ PC の同じブラウザでログインするとき、30 日間ワンタイムパスワードが不要となります。

WordPress 2 段階認証プラグインに関する FAQ

どのプラグインがおすすめですか?

個人ブログで利用するなら「Wordfence」がおすすめです。無料版でも信頼できるデバイスを登録できるので、いつも同じ PC で管理画面にログインしているなら手間が省けます。ただし、他のセキュリティ系プラグインを入れていると干渉する可能性があり、設定画面が複雑なのも難点です。

毎回ワンタイムパスワードを入力するのが手間ではなく、かつ予備のログイン方法を用意しておきたい場合は「Two-Factor」がよいと思います。

プラグインが動きません

何らかのプラグインと干渉している可能性があります。ログインを監視するプラグインを併用していないか確認してみてください。

いくつかテストしたところ、「Crazy Bone」を入れていると動作しませんでした。

2 段階認証を止めるときはどうすればよいですか?

管理画面から 2 段階認証プラグインを削除してください。その後、「Google 認証システム」の登録を削除します。

プラグインを削除する前に「Google 認証システム」を削除すると、ログインできなくなってしまうかもしれないのでご注意ください。

ログインできなくなってしまいました

使い捨てバックアップコードなどを使用してください。何をどうしてもログインできない状態になったのであれば、FTP で 2 段階認証プラグインを削除すれば大丈夫です。

プラグインは[wp-content]-[plugins]ディレクトリ内にあります。

まとめ

WordPress のセキュリティを高めるために、2 段階認証に頼るだけではなくこまめなパスワードの変更も心がけましょう。

また、ログイン画面を強化しておいても WordPress 本体やプラグインを更新していなければ危険です。玄関をしっかり施錠したまま、窓を開けっぱなしで出かけているようなものですからね。

更新されていないプラグインが原因でバックドアを仕掛けられる事例は少なくありません。

 WordPressに広告が強制表示されるハッキング被害にあったときの復旧手順と対策

大切に育ててきた WordPress ブログは自分でしっかり守りましょう。

それでは、また。