WordPress のセキュリティ対策として、特に重要なのは管理画面の防御です。攻撃者は、パスワードの総当たりや、他のWebサービスなどから漏洩したパスワードリストを使って、あの手この手で不正に WordPress 管理画面へログインを試みます。このような攻撃への対策には、2段階認証がとても有効です。そこで今回は、WordPress への2段階認証の導入方法をまとめてみました。
2段階認証とは?
2段階認証は、ユーザー名とパスワードに加えて、スマートフォンアプリに表示される認証コードや、メールなどで送られてくるワンタイムパスワードなどでも認証する仕組みです。ユーザー名(1段階)とパスワード(2段階)で、2段階認証では? と思われる方もいるかもしれませんが、ユーザー名は認証の要素としては数えません。
「2段階認証」と「2要素認証」
2段階認証は、「2要素認証」や「多要素認証」とも呼ばれますが、どれも同じ意味だと考えて問題ありません。言葉の意味としては、2つの「要素」で認証することから2要素認証と呼ぶ方が正しいのですが、Google など多くの Webサービスがこの認証の仕組みを「2段階認証」と表記していることから、日本語では2段階認証と呼ばれることが一般的になりました。(英語では「Two Factor(要素) Authentication」と呼ばれます)
「Two-Factor」プラグインのインストール
WordPress の2段階認証プラグインは色々ありますが、その名も Two-Factorプラグイン は、メール、スマートフォンの認証アプリ、セキュリティキーなど、さまざまな方法で2段階認証を設定することができます。また、Two-Factorプラグインは設定がシンプルで分かりやすく、日本語表示にも対応していますのでオススメです。
WordPress の管理画面で、「プラグイン」→「新規追加」をクリック、キーワード「Two-Factor」でプラグインを検索して「インストール」をクリックしてください。
インストールが終わり、「有効化」をクリックすれば、Two-Factorプラグインのインストール完了です。
「ユーザー」→「あなたのプローフィール」画面に、Two-Factor設定 が表示されるようになります。
2段階認証の設定方法
2段階認証の設定を行います。なにかのトラブルで2段階認証の認証要素が使えなった時に備えて、2つの認証要素(例:認証アプリとメール、メールとバックアップ検証コード、セキュリティキーを2本など)を設定しておきましょう。
メール
メールの2段階認証設定は、メールの有効にチェックを入れて「プロフィールを更新」ボタンをクリックするだけで簡単に設定できます。
ログイン画面で、ユーザー名とパスワードの認証が終わると、下のような確認コードがメールで送られてきます。
時間ベースのワンタイムパスワード(認証アプリ)
時間ベースのワンタイムパスワードは、Google認証システム(Google Authenticator)などのスマートフォンの認証アプリを使った2段階認証です。スマートフォンが普及したこともあり、現在よく使われている2段階認証方式です。
まずはじめに、お手持ちのスマートフォンに「Google認証システム(Google Authenticator)」アプリをインストールします。
Android版:Google 認証システム
iPhone版:Google Authenticator
Google認証システムアプリを起動して、左上の「+」をタップ→「バーコードをスキャン」をタップします。
Two-Factor設定に表示されている QRコードをスキャンします。
時間ベースのワンタイムパスワードの有効にチェックを入れて、Google認証システムアプリに表示されている認証コードを入力し「送信する」をクリックします。
以上で、認証アプリを使った2段階認証の設定完了です。
FIDO ユニバーサルセカンドファクター(U2F)
FIDO ユニバーサルセカンドファクター(U2F)は、下の写真のような U2F に対応したセキュリティキーを使った2段階認証です。セキュリティキーを購入する必要がありますが、最も安全性の高い2段階認証方式です。(セキュリティキーを登録するには WordPress に HTTPS接続できることが必要です。また現時点でTwo-FactorプラグインはSafariブラウザには対応していないようです)
「新しいキーを登録 」をクリックすると以下のような表示になりますので、セキュリティキーをパソコンに接続し、セキュリティキーのボタンをタップします。
「新しいセキュリティー」という名前で、セキュリティキーが登録されます。「リネーム」をクリックしてセキュリティキーにわかりやすい名前をつけておきましょう。
FIDO ユニバーサルセカンドファクター(U2F)の有効にチェックを入れて、「プロフィールを更新」ボタンをクリックすれば設定完了です。
バックアップ検証コード(使い捨て)
バックアップ検証コード(使い捨て)は、その名の通り他の認証要素が使えなくなってしまった時(例:認証アプリを誤って削除した。セキュリティーキーを紛失した等)のための認証方式です。バックアップ検証コードは1度しか表示できないことに注意しましょう。
「検証コードを生成」をクリックして、表示された検証コードを安全な場所にメモしておきます。当然ですが検証コードは秘密にして管理しましょう。
バックアップ検証コード(使い捨て)の有効にチェックを入れて、「プロフィールを更新」ボタンをクリックすれば設定完了です。
「ダミーメソッド」はチェックしない!
一番下に表示されている「ダミーメソッド」は、通常の用途では使うことはないため、チェックしないようにしましょう。
参考資料:What does Dummy Method do? | WordPress.org
メインの認証要素を選択
認証要素の登録が終わったら、メインとなる認証要素を選択して「プロフィールを更新」ボタンをクリックすれば2段階認証の設定完了です。
WordPress管理画面へのログイン時に、ユーザー名とパスワードの認証に成功すると、下のような2段階認証を求める画面が表示されるようになります。
おわりに
現在ではパスワード認証だけでセキュリティを確保することは難しくなりました。ぜひ WordPress への2段階認証の導入をご検討ください!
コメント
ワードプレスの2段階認証の設定の仕方が分からず、こちらへ来ました。
おかげさまで、設定することができました。
ありがとうございます。
>としこさん
こちらこそコメントありがとうございました。
記事が参考になったようで良かったです。