どうも、こうすけ(@kosuke_upd)です。
今回は、WordPressの管理画面に二段階認証を設定する方法を解説します。プラグインを使用した設定方法であり、誰でも簡単にセキュリティを高められます。
サイト運営者として、最低限のセキュリティ対策は必須ですよね。ログインパスワードを複雑なものにすることはもちろんですが、二段階認証を設定することもセキュリティを強化するためのメジャーかつ強力な施策です。
今回は「Google Authenticator – WordPress Two Factor Authentication (2FA)」、別名「miniOrange 2 Factor Authentication」という名前のプラグインを使用したWordPress管理画面の二段階認証設定方法を解説します。
このプラグインを推奨する理由とともに設定方法を解説するので、ぜひ参考にしながら設定してみてください。
「Google Authenticator – WordPress Two Factor Authentication (2FA)」というプラグインを使用する理由
WordPress管理画面に二段階認証を設定するためのプラグインとして、今回紹介する「Google Authenticator – WordPress Two Factor Authentication (2FA)」というプラグインの他に「Google Authenticator」というメジャーなプラグインもあるのですが、このプラグインは現時点(2018年9月5日時点)での最終更新が2年前であり、現在のWordPressバージョンとの互換性が確認されていません。
つまり、メジャーである「Google Authenticator」というプラグインは、本来セキュリティを強化するためのプラグインなのに、逆にセキュリティが脅かされてしまうのです。
それに比べ、今回紹介する「Google Authenticator – WordPress Two Factor Authentication (2FA)」というプラグインはしっかり更新されており、現在のWordPressバージョンとの互換性も確認できています。
また、有効インストール数やレビューを見ても問題ないと言えるでしょう。
そしてその他の二段階認証プラグインは有効インストール数やレビュー数が少ないのでなんとも言えません。
というわけで、WordPress管理画面に二段階認証を設定するプラグインは「Google Authenticator – WordPress Two Factor Authentication (2FA)」が良いと言えるでしょう。
「Google Authenticator – WordPress Two Factor Authentication (2FA)」の使い方:WordPress管理画面への二段階認証の設定方法
では、「Google Authenticator – WordPress Two Factor Authentication (2FA)」を使用したWordPress管理画面への二段階認証の設定方法を見ていきましょう。
手順1. プラグインをインストール
まずは「Google Authenticator – WordPress Two Factor Authentication (2FA)」をインストールしましょう。
プラグインの新規追加画面にて「Google Authenticator」と検索すると「Google Authenticator – WordPress Two Factor Authentication (2FA)」が出てくるので、インストール、有効化しましょう。
手順2. プラグインを設定する
プラグインをインストール、有効化すると、管理画面サイドバーに「miniOrange 2-Factor」という項目が現れるので選択しましょう。
冒頭でもお話したように、「Google Authenticator – WordPress Two Factor Authentication (2FA)」は別名「miniOrange 2 Factor Authentication」という名前です。そのため管理画面ではこのような表示になっています。
「miniOrange 2 Factor Authentication」の画面を開くと、このような表示が出ます。「プライバシーポリシーを更新し、ユーザーがプラグインをより安全に使えるようにしましたよ」ということが書かれているので、「Okay」をクリックしましょう。
手順2-1. 「miniOrange」に登録する
プライバシーポリシー画面で「Okay」ボタンをクリックすると、このような画面が表示されます。
このプラグインを使うにはまず「miniOrange」に登録する必要があるので、必須項目であるメールアドレス、会社名(または組織名)、パスワードを入力して「Create Account」をクリックしましょう。
必須項目だけでなく任意項目に入力してももちろん構いません。
「Create Account」をクリックすると、画面上部に下の画像のような表示が出ます。
ここには「入力したメールアドレス宛にワンタイムパスコードを記載したメールを送ったから、そのパスコードを下の空欄に入力して認証を完了させてね」ということが書かれています。
そのため、メールを確認しましょう。
メールの受信ボックスを確認するとこのようなメールが届きます。ここに記載されているワンタイムパスコードをコピーしましょう。
そして先程の画面に戻り、コピーしたワンタイムパスコードを「Enter OTP」の空欄に貼り付け、「Validate OTP」ボタンをクリックしましょう。
手順2-2. 二段階認証を設定する
これで「miniOrange」への登録は完了したので、引き続き二段階認証を設定しましょう。
「miniOrange」に登録すると、自動的に二段階認証の設定に続き、下の画像のような画面が表示されます。ここには「これから最適な二段階認証の設定とそのテストを案内していくよ」ということが書かれています。「Next」ボタンをクリックしましょう。
次はどの手段で二段階認証を設定するかを選択します。
どの手段でも良いですが、個人的にほとんどのサービスでも対応しており管理しやすい「Google Authenticator」をおすすめします。ここでもGoogle Authenticatorを選択した体で進めていきます。
「Google Authenticator」を選択するとこのような画面に移動します。
Google Authenticatorを使用した二段階認証では、スマホに「Google Authenticator」(Androidスマホでは「Google認証システム」)アプリをインストールし、そのアプリを使用して二段階認証を行います。
そのため、ここではお使いのスマホを選択しましょう。僕はiPhoneを使用しているので「iPhone」を選択します。
するとこのような画面が表示されます。まずはスマホで「Google Authenticator」(Androidスマホでは「Google認証システム」)アプリをインストールしましょう。
そしてインストールしたアプリで、表示されているQRコードを読み取り、Google Authenticatorアプリに二段階認証アカウントを追加しましょう。
「Google Authenticator」アプリの使い方はこちらの記事で詳しく解説しているので、もしやり方がわからない場合はぜひ参考にしてみてください。
Google Authenticatorの使い方:設定 / バックアップ / 機種変更時の対応方法を解説
また、Google AuthenticatorアプリでQRコードを読み取ることができない場合は、「Can’t scan the barcode?」という部分をクリックすることで表示されるキーをGoogle Authenticatorに入力することでも、二段階認証アカウントを追加することができます。
Google Authenticatorアプリに二段階認証アカウントを追加すると、Google Authenticator上にはこのように6桁の認証コードが表示されます。
6桁の認証コードは30秒ごとに切り替わる一時的なコードであり、二段階認証を設定する際や、二段階認証を解除する際に使用します。
では、二段階認証設定画面に戻り、Google Authenticatorに表示されている6桁の認証コードを、STEP-3の「Code」の欄に入力して「Verify and Save」ボタンをクリックしましょう。
このとき、入力中にGoogle Authenticatorに表示されている6桁の認証コードが新たなコードに切り替わった場合は、新たなコードを入力してください。
次はこのような画面が表示されます。ここには「無事に二段階認証の設定が完了しました。二段階認証が正常に作動するかのテストを引き続きすることを推奨します。「Next」ボタンをクリックすることで引き続きテストを行いますが、「Skip Test」ボタンをクリックすることでテストを後回しにします。」と書かれています。
テストは絶対にしたほうが良いので、「Next」ボタンをクリックしましょう。
というわけでテストに進みます。Google Authenticatorに表示されている6桁のコードを確認し、空欄に入力して「Submit」ボタンをクリックしましょう。
このような画面が表示されたら無事に二段階認証のテストの完了です。ここには「今後、WordPressの管理画面にログインする際は毎回二段階認証を要求します。」といったことが書かれています。
「Finish」ボタンをクリックしましょう。
これで設定が完了しました。
ちなみに、「User Profile」タブから登録情報、設定情報を確認できます。
また、「Setup Two-Factor」タブを開くと「Enable 2FA prompt on the WP Login Page」という項目があります。
「Enable 2FA prompt on the WP Login Page」項目にチェックを入れないままでいると、ログインする際にまず通常通りユーザー名とパスワードを入力する画面が表示されます。
そして、次の画面で二段階認証コードを入力する画面が表示され、認証が完了するとログインが完了します。
「Enable 2FA prompt on the WP Login Page」項目にチェックを入れると、ログインする際にユーザー名、パスワードに加えて二段階認証コードも入力するようになります。
WordPressでサイトを運営している場合は二段階認証を設定しよう
今回は、WordPressの管理画面に二段階認証を設定する方法として、「Google Authenticator – WordPress Two Factor Authentication (2FA)」というプラグインを使用した設定方法を解説しました。
ほとんどのサイト運営者にとってサイトは大事な資産だと思いますので、万が一のことが起こらないように、これを機に二段階認証を設定してみてください。
\ 記事が良かったらシェア! /
