WordPressの二段階認証の設定方法|Two-Factorプラグインでログインセキュリティを強化

  • 投稿日
  • 著者 ユウ
  • カテゴリー WordPress
WordPressをTwo-Factorプラグインでログインセキュリティを強化する方法

WordPressサイトをご自身で運営されている場合、「セキュリティ対策はこれで大丈夫?」と気になることはありませんか?

WordPressは世界中で利用されているCMSのため、ログイン画面への不正アクセスが試みられることも少なくありません。実際に、ログイン履歴を確認すると海外からのアクセスやログイン試行が記録されているケースもあります。

そこでおすすめしているのが、WordPressの二段階認証です。

今回は、WordPress公式プラグインのTwo-Factorを使った設定方法についてご紹介します。初心者の方でも比較的簡単に設定できるセキュリティ対策ですので、ぜひ参考にしてみてください。

過去に下記記事でセキュリティ対策の基本をご紹介しておりますので、こちらもよかったらご参照ください。

WordPressのセキュリティを強化する方法
「WordPressはセキュリティに弱い」と言われることがあります。WordPress自体がセキュリティに弱いというわけではなく、世界シェアNo.1のCMSという点で標的にされやすいと…
yu-design.jp

二段階認証とは?

二段階認証とは、ログインの際に

  1. パスワード
  2. 追加の認証

2つの確認を行うログイン方法です。

通常、WordPressの管理画面にログインする場合は

  • ユーザー名
  • パスワード

だけでログインできますが、パスワードが第三者に知られてしまうと、不正ログインのリスクがあります。

二段階認証を設定しておくと、メールで送られてくる認証コードやスマートフォンの認証アプリ等によって、ログインした本人を認証できるため、不正ログインのリスクを大きく下げることができます。

WordPressサイトを安全に運用するために、非常に有効なセキュリティ対策の一つです。

Two-Factor の特徴

WordPressには二段階認証のプラグインがいくつかありますが、設定がシンプルで使いやすいTwo-Factorがおすすめです。

主な特徴は次の通りです。

WordPress公式のプラグイン

このプラグインは、WordPressを公式の公式ディレクトリで公開されているプラグインです。
シンプルな構成で、余計な機能が少なく安心して利用できます。

設定が比較的シンプル

複雑な設定画面が少なく、ユーザーごとに設定できるのも特徴です。

複数の認証方法に対応

Two-Factorでは、いくつかの認証方法を選ぶことができます。

主なものは次の通りです。

  • メールで認証コードを受け取る
  • 認証アプリ(Google Authenticatorなど)
  • リカバリーコード

初心者の方には、メール認証から始める方法が比較的簡単でおすすめですので、今回はメール認証の設定方法をご紹介します。

Two-Factorのメール認証の設定方法

メール認証を設定する際の注意点がありますので、先にご確認ください。

設定する前に知っておきたい注意点

メールアドレスの確認

認証コードは、ユーザープロフィールに登録されているメールアドレス宛に送信されます。

「設定 → 一般」の管理者メールアドレスとは異なるため、現在ログインしているユーザーのメールアドレスが正しいか確認しておきましょう。

WordPressからメールが届くか事前に確認する

メール認証を利用する場合は、WordPressからのメールが正常に届くか確認しておくと安心です。

【確認方法の例】
  • ログイン画面の「パスワードをお忘れですか?」から再設定メールを送信する
  • お問い合わせフォームからテスト送信を行う

※お問い合わせフォームを利用している場合は、管理者通知の送信先を一時的にご自身のメールアドレスに変更して確認する方法もあります。

新規でプラグインを追加する際に、お使いのWordPressのバージョンやテーマ、サーバー状況等により稀に不具合が生じるケースがあります。事前に必ずバックアップを取ってから設定することをおすすめします。

基本的な設定の流れは次の通りです。

  1. プラグインをインストール
  2. プラグインを有効化
  3. ユーザープロフィールを開く
  4. 二段階認証の方法を設定

①プラグインをインストール

「プラグインを追加」から「Two-Factor」で検索し、インストールします。

②プラグインを有効化

インストール出来たら「有効化」をクリックします。

③ユーザーのプロフィールを開く

ユーザーのプロフィールをクリックし、プロフィールページを開きます。

※ユーザーが複数いる場合は、Two Factorを設定するユーザーのプロフィールページを開きます。

④二段階認証の方法を設定

下へスクロールするとTwo-Factor 設定が表示されますので、下の方にある「メールを有効化」にチェックをいれます。

チェックを入れたら、ページ最下部の「プロフィールを更新」ボタンをクリックして更新し、設定完了です。

次回のログイン時から、認証コードが必要になります。

ログイン時のメールによる認証の方法

認証の方法はとても簡単です。

①ユーザー名とパスワードを入力

ログイン画面で、通常通りユーザー名とパスワードを入力し、ログインボタンをクリックします。

②認証コードを入力する

認証コードの入力欄が表示されるので、メールに届いた認証コードを入力すると、管理画面にログインできます。

メール以外の認証方法について

Two-Factor では、メール認証以外の方法も利用できますので、簡単にご紹介しておきますね。

認証アプリ(Google Authenticatorなど)

スマートフォンアプリで生成される認証コードを使用する方法です。
ただし、初心者の方にとっては設定方法がやや難しく、操作に慣れが必要なため、まずはメール認証から始めるのがおすすめです。

リカバリーコード

リカバリーコードは、何らかの理由でメールや認証アプリが使えない場合でもログインできる予備のコードです。一度使用すると無効になる使い捨てのコードで、複数発行されます。

スマートフォンの故障やメールが受信できない場合に備えて、ご不安な場合は設定しておくのも良いでしょう。
第三者に知られる心配のない安全な場所に保管しておくと安心です。

Two-Factor
時間ベースのワンタイムパスワード (TOTP)、メール、およびバックアップ確認コードを使用して、2要素認証 (2FA) を有効にします。
ja.wordpress.org

メール認証でログインできない場合の対処法

迷惑メールフォルダを確認する

認証メールが迷惑メールフォルダに入っている場合がありますので、確認してみてください。

プラグインを一時的に停止する

FTPツールを使用してプラグインを一時的に無効にしてログインするという方法があります。

※こちらは初心者の方にとっては難しいため、専門家へのご相談をお勧めします。

WordPressサイトを安全に運用するためには、ログインセキュリティの対策が重要です。

今回ご紹介したTwo-Factorプラグインを使えば、比較的簡単に二段階認証を導入できます。まずは設定しやすいメール認証から導入し、必要に応じて認証アプリの利用も検討すると安心です。

WordPressのセキュリティ対策の一つとして、ぜひ参考にしてみてください。