ログイン画面を強化!2段階認証にする『Two Factor Authentication』の設定方法
ワードプレスのログインにはユーザー名とパスワードが必要ですが、もう一つ1分ごとに入力値が変わる可変型パスワードを追加して2段階認証にする『Two Factor Authentication』の設定方法を紹介します。
『Two Factor Authentication』は設定画面がシンプルで2段階認証のみの機能を追加するプラグインなので、初心者にも使いやすいプラグインです。
初心者でも使いやすいセキュリティー対策プラグインである『Wordfence』でも2段階認証を追加する機能がありますが有料のオプションになっています。
また、2段階認証を追加するプラグインは多数ありますが、セキュリティー機能が付いていたり、最新バージョンのワードプレスで検証されていなかったりするプラグインもあるので注意してください。
なお、追加する可変型パスワードの発行は、スマホのGoogle認証アプリを使用するため、スマートフォンが必須になります。
1 『Two Factor Authentication』のインストール
2段階認証を追加するプラグインはいくつかありますが、私がお勧めしている『Wordfence』を使用している場合、セキュリティー対策を含むプラグインの使用はプラグイン同士の衝突の恐れがあるので避けた方がいいと思います。
また、プラグイン全体に言えることですが、更新が継続して行われており使用しているワードプレスのバージョンと互換性があるもので、有効なインストール数が多いものを選んだ方が無難です。
もともと、「Google Authentication」というプラグインを使用していたのですが、更新が1年以上なく現在のワードプレスのバージョンと互換性の確認がされていないためプラグインを変更することにしました。
早速、ダウンロードしていきましょう。
ダッシュボード > プラグイン > 新規追加 を開き、右上のキーワードに「Two Factor Authentication」と入力します。
「今すぐインストール」をクリックし、完了したら「有効化」します。
ダッシュボードに「Two Factor Auth」が追加されています。
また、ダッシュボード > 設定 の中に「Two Factor Authentication」も追加されています。
設定の中に追加された「Two Factor Authentication」はこのプラグインの管理者設定になります。
ダッシュボードに追加された「Two Factor Auth」は、2段階認証を行うために必要なQRコードを取得できます。
2 プラグインの管理者設定
ダッシュボード > 設定 >Two Factor Authentication を開きます。
ここで設定する項目は
・User roles
2段階認証を組み込むユーザーの指定します。ただし、指定したユーザーに2段階認証を強制することはできません。
・XMLRPC requests
MXLRPCは、ワードプレスにログインしなくても投稿ができる機能を使用する際に使用されます。MXLRPC機能を有するアプリの多くは、2段階認証に対応していません。
この項目では、2段階認証に対応したアプリのみ使用を許可するか否かを設定します。(初期値は2段階認証を要求していない設定になっています。)
なお、MXLPRCに関しては「SiteGuard WP Pluginの設定方法 MXLRPC防御」に書いたとおり、SiteGuardWPプラグインでMXLPRCに関する設定が可能です。
・Default algorithm
アルゴリズムのパターンを選ぶことができます。初期値である1分ごとにパスワードコードが変わっていく時間ベースを選択してください。
有料のプレミアムバージョンを購入した場合は、ユーザーへの2段階認証の強制機能やスマホを紛失した場合のワンタイムコードの発行機能など更に設定できる項目が増えます。
3 ユーザーの2段階認証設定
ダッシュボード >Two Factor Auth を開くと、
・Activate two factor authentication
ユーザーが2段階認証導入の可否を選択できます。
・Current codes
2段階認証のパスコードを取得するQRコードを発行します。
・Activate two factor authentication
・Enabled(有効にする)
・Disabled(無効にする)
・Current codes
Current one-time password(update)の「update」をクリックすると、クリックした時のパスコードが表示されます。
QR code
スマホのGoogle認証システムとサイトを紐付けするためのQRコードです。QRコードの再発行を行うには「Reset private key」をクリックします。再発行した場合スマホのGoogle認証システムと紐付けが切れるのでスマホのGoogle認証システムで新たにQRコードを読み込む必要があります。
Activate two factor authenticationのEnabled(有効にする)にチェックを入れて「変更を保存」します。
(画面は開いたままにしておいてください。)
4 スマートフォンにGoogle認証システムをインストールする
2段階認証を導入するために、スマートフォンにアプリをインストールします。
スマホでアプリをインストールするために、「Play ストア」を開きます。
アプリの検索欄に「Google認証システム」と入力してアプリをインストールします。
アプリをインストールしたら、使いやすいようにホーム画面にショートカットアイコンを表示させます。
ショートカットアイコンをタップしてアプリを起動します。
写真は私が使用しているGoogleシステムの画面です。
(すでに2段階認証を導入しているのでサイトごとにパスコードが表示されていますが、新規でインストールした場合は何も表示されていません。)
右下の「赤丸に+」マークをタップします。
画面下方に選択項目が表示されるので、「バーコードをスキャン」をタップします。
先程のQRコードを読み込みます。
読み込んだQRコードが登録されてパスコードが表示されます。
(6桁にパスコードの下にドメイン名とユーザー名が自動入力されます。必要に応じて書き換えることもできます。)
2段階認証の設定は以上です。
実際に2段階認証の導入が完了しているか確認してみます。
開いているワードプレスをログアウトします。
ログイン画面はいつものログイン画面と変わりありません。
ログイン画面のユーザー名とパスワードを入力してログインします。
ワードプレスのダッシュボードが表示されずに、パスワードを入力する画面が表示されるはずです。
サイトに2段階認証が導入されたことが確認できました。
スマホのGoogle認証システムを開いてパスコードを入力してログインすればダッシュボードが表示されます。
5 スマホを紛失や破損した場合の対処方法
2段階認証を導入して不正ログインに対する防御力は高まりました。
が、もしスマホを紛失したり破損したりしてGoogle認証システムでパスコードを表示できない場合はどうしたらいいのか? という疑問が湧くかもしれません。
有料のプレミアムバージョンを購入して、緊急コードを取得しないとログインできないので? と心配になるかもしれません。
「安心してください。履いてますよ。」
違う
「入れますよ。」
手順も簡単です。
『Two Factor Authentication』プラグインで2段階認証を行っています。
だから、このプラグインを無効にしてあげれば2段階認証も解除されます。
FPTソフトでサーバーに接続します。
ワードプレスが保存されているディレクトリ > wp-content > plugin に保存されている「two factor authentication」のディレクトリ名を書き換えることによりプラグインを無効化することができます。
新しいスマホが準備できたら、書き換えたディレクトリ名を元に戻し、Google認証システムに再登録してください。
※参考(SiteGuard WP Pluginの設定方法 ログインページURLが分からなくなった時の対処法)
2段階認証を導入するだけで不正ログインへの防御力は高まりますが、ログインページにアクセスしている形成を見ると気持ちがいいものではありません。
SiteGuard WP プラグインでログインページを変更し、MXLRPCを無効にして更に防御力を高めることを検討することをお勧めします。
(※参考 不正ログインにはこれで防御『SiteGuard WP Plugin』の設定方法)
2段階認証に関する説明は以上です。
この記事があなたのお役に立てたら幸いです。
またこの記事がお役に立てれたならhatena・Facebook・Twitterでシェアして頂けると励みになります。
