WordPressログインを2段階認証にしてセキュリティ強化

WordPressの管理画面へ入るには、ユーザー名(もしくはメールアドレス)とパスワードが必須です。これにより、不正アクセスを防げます。

ですが、もし仮にアカウント情報を破られて見知らぬ誰かにログインされてしまったら?

恐ろしい目に合わないためのセキュリティ対策に使えるのが2段階認証

他人にログインされるリスクを回避するのに役立つ、スマホアプリを使ったテクニックです。WordPressのプラグインとアプリを連携させるだけで設定できます。

まだ2段階認証を導入していないユーザーさんがいるなら、大切な自分のサイトを守るためにも今すぐ2段階認証を取り入れて、WordPressのセキュリティを強化してみましょう。

WordPressのログイン画面は誰でもアクセスできる

管理画面にログインする際、以下のようなページにアクセスします。

WordPress ログイン画面

ただ、このWordPressのログイン画面。WordPressの知識がそこそこある人なら、誰でも簡単にアクセスできてしまうんですね。

ログイン画面を開けたとしても、ユーザー名やパスワードさえ破られなければ管理画面に侵入される危険はありません。ですが、アカウント情報が外部に漏れたり運悪く破られたりしたら、別の誰かがWordPressの管理画面で自由に振る舞う危険が出てきてしまいます。

サイトを乗っ取られた」「データを改ざんされた」「ウイルスを仕込まれた

こんな状態になったら、もう大変です。

2段階認証アプリ「Google Authenticator」

不正アクセスを防ぐのに使えるのが、2段階認証アプリの「Google Authenticator」です。大手企業Googleの2段階認証システムで、利用は無料。スマホさえあれば誰でも導入できます(タブレットでも使えます)。

2段階認証を有効にすると、ユーザー名とパスワードの他にもう1つのパスワードを入力しなければログインできません。障壁を突破するレベルが上がるため、WordPressのセキュリティを高められるというわけです。

複数存在するGoogle Authenticatorのプラグイン

WordPressでGoogle Authenticatorを使うためには、専用のプラグインをインストールします。ところがこの専用プラグインは1つだけではなく、いくつかの種類が存在します(2019年3月13日時点)。

複数あるとどのプラグインを使うべきか悩むところですが、古くからあるプラグイン「Google Authenticator」が最も知名度が高そうで、有効インストール数も抜群です。

ただ、現在の様子を見るとプラグインの更新が2年以上前と古いのが、少し気になるところでしょうか。

Google Authenticator – WordPress Two Factor Authentication (2FA)」も、利用者が多い人気のプラグインという様子。先程紹介したGoogle Authenticatorに比べて有効インストール数では一歩及ばないものの、ある程度頻繁に更新している点に好感が持てます。

ですが、Google Authenticatorと違って後者のプラグインを使う場合、アカウント登録が必要です。登録の手間とプラグイン作成者にアカウント情報を提供するという点が、ややネックに感じます。

そこでおすすめしたいのが「Two Factor Authentication」というプラグインです。有効インストール数がそこそこ多く、更新頻度も程よい感じです。アカウント登録が必要ないのもメリットですね。

今回の記事では、アカウント登録が不要で手軽に使える点が魅力的な「Two Factor Authentication」の導入方法を紹介します。

WordPressをGoogle Authenticatorで2段階認証する手順

最初にWordPress用のプラグインを導入しましょう。続いて、App StoreやGoogle Playからアプリをダウンロードする流れで進みます。

WordPress用のプラグイン設定

2段階認証したいWordPressの管理画面に入ったら、プラグイン検索で「Two Factor Authentication」を探してください。

WordPressプラグイン TwoFactorAuthentication

該当プラグインを見つけたらインストールし、有効化します。

WordPress管理画面、左側にあるメニューから「Two Factor Auth」を選びます。

WordPressメニュー TwoFactorAuth

Two Factor Authenticationの管理画面を見ると、大きなQRコードがあります(2の部分)。

WordPress TwoFactorAuthentication管理画面

これをスマホアプリで読み取れば連携することが可能です。

画面の1の部分には6桁の認証コードが表示されます。この後で説明するスマホアプリの表示と連動しているものですから、正しく動作しているかの確認用として参考にすると良さそうです。

Google Authenticatorアプリをダウンロード

App StoreもしくはGoogle Playで「Google Authenticator」をダウンロードしましょう。ちなみにGooglePlayでは「Google認証システム」というアプリ名で提供されています。

Google Play で手に入れよう

ダウンロードしたら、アプリを起動してください。

Two Factor AuthenticationのQRコードをスマホで読み取る

アプリにまだ何も登録されていない状態だと、以下のような画面が登場します。

アプリ GoogleAuthenticator 最初の画面

設定を開始」を選びましょう。

続いて、アプリで管理したいWordPressサイトを追加します。

バーコードをスキャン」を選んで、先程のWordPress管理画面に表示されているTwo Factor AuthenticationのQRコードをスマホで読み取ります。

アプリの画面に、WordPressサイトのドメインやユーザー名などが表示されたら完了です。

アプリ GoogleAuthenticator 認証コード画面

上の画像で大きなモザイクがかかっている部分に、6桁の番号が表示されていると思います。このコードをWordPressのログイン時に使ってください。ちなみに、その下の黒塗り部分にはユーザー名が表示されます。

別のWordPressサイトも管理したい場合、この画面から追加できます。上の十字アイコンをタップして手続きしましょう。

Two Factor Authenticationを有効化する

WordPressに戻り、Two Factor Authenticationの管理画面を見てください。

Enabled」と書かれた項目と、その隣にチェックボタンがあると思います。このボタンにチェックを入れて保存すれば、2段階認証を有効化できます。

WordPressログイン画面で2段階認証を試す

一度、WordPressの管理画面からログアウトします。ログイン画面で普段どおりにユーザ名とパスワード入力を終えると、Google Authenticator専用のコード入力欄に切り替わります。

WordPressログイン画面 2段階認証画面

表示されなかったらTwo Factor Authenticationが動作していません。もう一度管理画面にログインして、正しく設定できているかどうか確認しましょう。

スマホアプリに表示されている6桁のコードを「One Time Password」の欄に入力し、ログインのボタンを押します。無事にログインできれば成功です。

認証コードは30秒間だけ有効

スマホアプリの認証コードを見ているとわかるでしょうが、しばらくするとコードが自動的に切り替わります。

これは30秒だけ有効なコードであるためで、制限時間内であればログインできるということです。ネット銀行などでよく使われる、ワンタイムパスワードと同じ仕組みですね。

入力中に時間切れになったら、新しく表示される認証コードを使いましょう。

Google Authenticatorの使用をやめるには?

Two Factor Authenticationの管理画面で「Disabled」の項目にあるチェックボタンを見つけ、チェックを入れたら変更を保存してください。これで2段階認証が解除されます。

解除した後、ログアウトしてみましょう。ユーザー名とパスワードのみでログインできる、デフォルトの状態に戻っています。

プラグイン自体をもう使わないというのなら、WordPressの管理画面からプラグインの画面を開き、一覧からTwo Factor Authenticationを見つけてプラグインを停止もしくは削除してください。この方法でも2段階認証を解除できます。

先にGoogle Authenticatorのスマホアプリ側の設定を消したり、アプリ自体を削除したりするだけだと、2段階認証は解除されません。注意しましょう。

2段階認証できなくなったら?

スマホが使えない状態になったら、アプリで2段階認証用のコードを見られません。WordPressの管理画面に入れなくなってしまいますが、簡単な対策方法があるので大丈夫です。

やり方については、以下の記事を参考にしてみてください。

>>【関連記事】:どうしよう!WordPressの2段階認証ができない!ときの対処法