5分でできる!WordPress への2段階認証の導入方法

WordPress
WordPress
スポンサーリンク

WordPress のセキュリティ対策として、特に重要なのは管理画面の防御です。攻撃者は、パスワードの総当たりや、他のWebサービスなどから漏洩したパスワードリストを使って、あの手この手で不正に WordPress 管理画面へログインを試みます。このような攻撃への対策には、2段階認証がとても有効です。そこで今回は、WordPress への2段階認証の導入方法をまとめてみました。

2段階認証とは?

2段階認証は、ユーザー名とパスワードに加えて、スマートフォンアプリに表示される認証コードや、メールなどで送られてくるワンタイムパスワードなどでも認証する仕組みです。ユーザー名(1段階)とパスワード(2段階)で、2段階認証では? と思われる方もいるかもしれませんが、ユーザー名は認証の要素としては数えません。

2段階認証のイラスト

「2段階認証」と「2要素認証」

段階認証は、「2要素認証」や「多要素認証」とも呼ばれますが、どれも同じ意味だと考えて問題ありません。言葉の意味としては、2つの「要素」で認証することから2要素認証と呼ぶ方が正しいのですが、Google など多くの Webサービスがこの認証の仕組みを「2段階認証」と表記していることから、日本語では2段階認証と呼ばれることが一般的になりました。(英語では「Two Factor(要素) Authentication」と呼ばれます)

「Two-Factor」プラグインのインストール

WordPress の2段階認証プラグインは色々ありますが、その名も Two-Factorプラグイン は、メール、スマートフォンの認証アプリ、セキュリティキーなど、さまざまな方法で2段階認証を設定することができます。また、Two-Factorプラグインは設定がシンプルで分かりやすく、日本語表示にも対応していますのでオススメです。

WordPress の管理画面で、「プラグイン」→「新規追加」をクリック、キーワード「Two-Factor」でプラグインを検索して「インストール」をクリックしてください。

「Two-Factor」でプラグインを検索

インストールが終わり、「有効化」をクリックすれば、Two-Factorプラグインのインストール完了です。

Two-Factorプラグインの「有効化」をクリック

「ユーザー」→「あなたのプローフィール」画面に、Two-Factor設定 が表示されるようになります。

Two-Factor設定の表示

2段階認証の設定方法

2段階認証の設定を行います。なにかのトラブルで2段階認証の認証要素が使えなった時に備えて、2つの認証要素(例:認証アプリとメール、メールとバックアップ検証コード、セキュリティキーを2本など)を設定しておきましょう。

メール

メールの2段階認証設定は、メールの有効にチェックを入れて「プロフィールを更新」ボタンをクリックするだけで簡単に設定できます。

メールの2段階認証設にチェック

ログイン画面で、ユーザー名とパスワードの認証が終わると、下のような確認コードがメールで送られてきます。

メールで送られてきた確認コード

時間ベースのワンタイムパスワード(認証アプリ)

時間ベースのワンタイムパスワードは、Google認証システム(Google Authenticator)などのスマートフォンの認証アプリを使った2段階認証です。スマートフォンが普及したこともあり、現在よく使われている2段階認証方式です。

まずはじめに、お手持ちのスマートフォンに「Google認証システム(Google Authenticator)」アプリをインストールします。

Android版:Google 認証システム
iPhone版:Google Authenticator

Google認証システムアプリを起動して、左上の「+」をタップ→「バーコードをスキャン」をタップします。

Two-Factor設定に表示されている QRコードをスキャンします。

Two-Factor設定のQRコードをスキャン

時間ベースのワンタイムパスワードの有効にチェックを入れて、Google認証システムアプリに表示されている認証コードを入力し「送信する」をクリックします。

認証コードの送信

以上で、認証アプリを使った2段階認証の設定完了です。

認証アプリを使った2段階認証の設定完了の表示

FIDO ユニバーサルセカンドファクター(U2F)

FIDO ユニバーサルセカンドファクター(U2F)は、下の写真のような U2F に対応したセキュリティキーを使った2段階認証です。セキュリティキーを購入する必要がありますが、最も安全性の高い2段階認証方式です。(セキュリティキーを登録するには WordPress に HTTPS接続できることが必要です。また現時点でTwo-FactorプラグインはSafariブラウザには対応していないようです)

セキュリティキーの写真

「新しいキーを登録 」をクリックすると以下のような表示になりますので、セキュリティキーをパソコンに接続し、セキュリティキーのボタンをタップします。

新しいキーの登録待ち状態

「新しいセキュリティー」という名前で、セキュリティキーが登録されます。「リネーム」をクリックしてセキュリティキーにわかりやすい名前をつけておきましょう。

新しいキーの登録済
 ↓
リネームしたセキュリティキー

FIDO ユニバーサルセカンドファクター(U2F)の有効にチェックを入れて、「プロフィールを更新」ボタンをクリックすれば設定完了です。

FIDO ユニバーサルセカンドファクター(U2F)の有効にチェック

バックアップ検証コード(使い捨て)

バックアップ検証コード(使い捨て)は、その名の通り他の認証要素が使えなくなってしまった時(例:認証アプリを誤って削除した。セキュリティーキーを紛失した等)のための認証方式です。バックアップ検証コードは1度しか表示できないことに注意しましょう。

「検証コードを生成」をクリックして、表示された検証コードを安全な場所にメモしておきます。当然ですが検証コードは秘密にして管理しましょう。

バックアップ検証コードを表示

バックアップ検証コード(使い捨て)の有効にチェックを入れて、「プロフィールを更新」ボタンをクリックすれば設定完了です。

バックアップ検証コード(使い捨て)の有効にチェック

「ダミーメソッド」はチェックしない!

一番下に表示されている「ダミーメソッド」は、通常の用途では使うことはないため、チェックしないようにしましょう。

ダミーメソッド

参考資料:What does Dummy Method do? | WordPress.org

メインの認証要素を選択

認証要素の登録が終わったら、メインとなる認証要素を選択して「プロフィールを更新」ボタンをクリックすれば2段階認証の設定完了です。

メインとなる認証要素の選択

WordPress管理画面へのログイン時に、ユーザー名とパスワードの認証に成功すると、下のような2段階認証を求める画面が表示されるようになります。

2段階認証を求める画面

おわりに

現在ではパスワード認証だけでセキュリティを確保することは難しくなりました。ぜひ WordPress への2段階認証の導入をご検討ください!

コメント

タイトルとURLをコピーしました