簡単!WordPressに2段階認証を導入する方法

簡単!WordPressに2段階認証を導入する方法IT/WEB

この記事ではWordPress2段階認証を導入する方法を解説していきます。

2段階認証は不正なログインに対してとても有効な方法です。

WordPressとスマホがあれば初心者でも簡単に設定できる方法をご紹介します。

WordPressに2段階認証を導入する方法

WordPressに2段階認証を導入するのは簡単です。

  • WordPressに2段階認証を導入できるプラグインをインストール
  • スマホに認証アプリをインストール

WordPressにプラグインをインストールして、スマホにアプリをインストールしてしまえば、あとは簡単な設定ですぐに2段階認証を実装することができます。

2段階認証を導入できるプラグインはいろいろ存在していますが、本記事では『Wordfence Login Security』を使った導入方法をご紹介します。

「Wordfence Login Security」を使うメリット

他のプラグインと比べて「Wordfence Login Security」を使うメリットは何かというと、無料で「信頼できるデバイス」を設定できることです。

「信頼できるデバイス」とは「認証済みデバイス」などという言い方もしますが、2段階認証によって1回ログインに成功した後は30日間2段階認証をスキップできる機能のことです。

他のプラグインではこの機能が有料だったり、そもそも機能として付いていないこともあります。

「信頼できるデバイス」によって何がいいのかというと、いつもの端末からWordPressにログインする場合は2段階認証で1回ログインしてしまえば、30日間はユーザー名とパスワードのみでログインできるようになります。

例えばオフィスや自宅で自分のPCからWordPressにログインするときに、セキュリティが高まるとはいえ、毎回2段階認証してログインするのは面倒ですよね。

このように自分が自分のWordPressにログインする場合など、2段階認証によってセキュリティを高めながら利便性も維持することができるわけです。

もちろんいつもと違うPCなどでログインする場合は30日経っていなくても2段階認証でのログインが求められます。

「Wordfence Login Security」はログインに特化

今回紹介しているプラグインの “Wordfence” シリーズには、WordPressの総合的なセキュリティ対策機能が含まれた「Wordfence Security – Firewall & Malware Scan」(以下、「Wordfence Security」)というプラグインも存在しています。

「Wordfence Security」にはログイン部分のセキュリティとして2段階認証の機能も含まれています。

しかし、“WordPressに2段階認証を導入する” という目的のためだけに「Wordfence Security」をインストールするのは躊躇してしまいます。

なぜならセキュリティ対策のプラグインはすでにWordPressに入っていませんか?

「Wordfence Security」はセキュリティ対策のプラグインとして高い評価も得ていて、当然ながらWordPressの総合的なセキュリティ対策というものは必須で対応すべきです。

しかし、セキュリティ対策のプラグインはすでにWordPressに入っているのではないでしょうか?

例えば、「All In One WP Security & Firewall」や「SiteGuard WP Plugin」、「iThemes Security」などが有名どころです。

すでにセキュリティ対策のプラグインがWordPressに入っているのに、さらに別のセキュリティ対策プラグインをインストールしてしまうと、同じセキュリティ対策を複数のプラグインで行うことになり、結果的に機能がバッティングしてしまったりWordPress(公開しているサイト)の動きが遅くなってしまったりする恐れがあります。

ここでおすすめなのが「Wordfence Login Security」です。

「Wordfence Login Security」は、その名の通り「Wordfence Security」のログイン部分の一部機能だけを抜き取ったようなプラグインです。

つまり2段階認証の機能を含んだログイン部分のセキュリティ対策に特化されており、ログイン部分以外のセキュリティ対策機能は含まれておりません。

ですので、2段階認証はログイン部分に特化した「Wordfence Login Security」を使って、WordPressの総合的なセキュリティ対策は「All In One WP Security & Firewall」などの他のプラグインにお任せすることで、セキュリティ機能のバッティングを防ぎ、WordPressへの負荷を最小限に抑えて2段階認証を導入することができます。

なお、「All In One WP Security & Firewall」などのセキュリティ対策プラグインをひとつも入れていないという人は、「Wordfence Security」のインストールを検討してもいいかもしれません。

2段階認証の機能自体は「Wordfence Login Security」も「Wordfence Security」も同じなので、今回2段階認証を導入しつつ、WordPressの総合的なセキュリティ対策も行えることになります。

「Wordfence Login Security」で2段階認証を設定する方法

それでは「Wordfence Login Security」を使ってWordPressに2段階認証を設定する方法を説明していきます。

上でも書いた通り、やること自体は簡単で次の流れに沿って設定していきます。

2段階認証を設定する流れ
  • 1|WordPressへ「Wordfence Login Security」のインストール
  • 2|スマホへ「認証アプリ」のインストール
  • 3|「Wordfence Login Security」の初期設定

1|WordPressへ「Wordfence Login Security」のインストール

まずはWordPressに「Wordfence Login Security」をインストールしましょう。

WordPress管理画面のサイドバーから「プラグイン」の「新規追加」をクリックします。

1.WordPressへ「Wordfence Login Security」のインストール1

「プラグインの検索」欄に「wordfence」と入力します。

すると「Wordfence Login Security」が表示されるので「今すぐインストール」をクリックして、インストールが完了したら「有効化」をクリックします。

1.WordPressへ「Wordfence Login Security」のインストール2

「プラグインの検索」欄に「wordfence」と入力すると「Wordfence Security」も表示されるので、セキュリティ対策プラグインをひとつも入れていないという人は「Wordfence Security」をインストールしてもOKです。

1.WordPressへ「Wordfence Login Security」のインストール3

(以降の説明では「Wordfence Login Security」の画面で設定方法を説明していきます。)

2|スマホへ「認証アプリ」のインストール

iPhoneやAndroidなどお使いのスマホに認証アプリをインストールしましょう。

認証アプリはユーザー名とパスワードの認証(1段階目)が成功したあと、2段階目の認証をするときに必要になります。

「Wordfence Login Security」では次のような認証アプリが使用できます。

  • LastPass Authenticator
  • Google Authenticator
  • Sophos Mobile Security
  • FreeOTP Authenticator
  • 1Password
  • Microsoft Authenticator
  • Authy 2-Factor Authentication
  • 時間ベースのワンタイムパスワード(TOTP)をサポートするその他の認証アプリ

どの認証アプリを使っても機能的には同じです。

すでにお使いのスマホに認証アプリがインストールされているのであればそれを使えばOKです。

本記事では「LastPass Authenticator」で設定方法を説明していきます。

「LastPass Authenticator」は App Store または Google Play からダウンロードしてインストールしましょう。

App Store 「LastPass Authenticator」

Google Play 「LastPass Authenticator」

3|「Wordfence Login Security」の初期設定

WordPressに「Wordfence Login Security」をインストールしてスマホに「認証アプリ」をインストールしたら、あとは簡単な設定で2段階認証の導入は完了です。

QRコードの読み取り

まずはQRコードを読み取ることで、WordPressの「Wordfence Login Security」とスマホの「LastPass Authenticator」をリンクさせます。

WordPress管理画面のサイドバーから「Login Security」をクリックします。

3.「Wordfence Login Security」の初期設定1

QRコードが表示されるので、これをスマホにインストールした「LastPass Authenticator」(その他の認証アプリでもOK)で読み取っていきます。

3.「Wordfence Login Security」の初期設定2

スマホの「LastPass Authenticator」を開いて「+」ボタンをタップします。

3.「Wordfence Login Security」の初期設定3

「Scan Barcode」をタップします。

3.「Wordfence Login Security」の初期設定4

カメラが起動するので、先ほどWordPressに表示されたQRコードを読み取ります。

QRコードを読み取ると「Wordfence」という認証コード(ワンタイムパスワード)が作成されます。

3.「Wordfence Login Security」の初期設定5

もしQRコードの読み取りができないという場合には、「LastPass Authenticator」の「+」ボタンをタップしたあとに「Scan Barcode」ではなく「Enter Manually」をタップします。

Keyの入力画面が表示されるので、ここにQRコードの下に表示されている手入力用のコードを入力することでも「Wordfence」の認証コードを作成することができます。

3.「Wordfence Login Security」の初期設定6

リカバリーコードのダウンロード

「DOWNLOAD」をクリックしてリカバリーコードをダウンロードします。

「DOWNLOAD」をクリックすると、画面に表示されているリカバリーコードが記載されたテキスト形式のファイルがダウンロードされます。

3.「Wordfence Login Security」の初期設定7

リカバリーコードとは、スマホの認証アプリが使えないときに代わりの認証コードとして使用するコードです。

例えばスマホが故障したり紛失した場合などは認証アプリの認証コード(ワンタイムパスワード)を確認することができません。

そのような場合に認証アプリの代わりにリカバリーコードを使用してWordPressにログインすることができます。

ですのでリカバリーコードは万が一に備えて自分だけがわかる場所に大事に保存しておきましょう。

2段階認証の有効化

スマホの認証アプリに先ほど追加した「Wordfence」に表示されている認証コード6桁を、リカバリーコードの下の入力欄に入力して「ACTIVATE」をクリックします。

3.「Wordfence Login Security」の初期設定8

これであなたのWordPressで2段階認証が有効化されました

2段階認証が有効化されると次のような画面が表示されます。

3.「Wordfence Login Security」の初期設定9

「DEACTIVATE」をクリックすると2段間認証を無効化することができます。

「GENERATE NEW CODES」をクリックすると新しいリカバリーコードを生成することができます。

はじめに設定しておきたい項目

これで2段階認証が有効化されましたが、最初にやっておきたい設定もここで済ましておきましょう。

上部にある「Setteings」タブをクリックします。

3.「Wordfence Login Security」の初期設定10

すると「Login Security Settings」画面が開いて各種設定ができる項目が表示されます。

「Enable 2FA for these roles」

「Enable 2FA for these roles」の「Editor」「Author」にチェックを入れます。

3.「Wordfence Login Security」の初期設定11

「Enable 2FA for these roles」は、どのRole(ユーザー)に2段階認証を適用させるかという設定です。

Contributor(寄稿者)とSubscriber(購読者)には、勝手に記事を公開したりする権限もないので2段階認証を求める必要はないかと思います。

「Allow remembering device for 30 days」

「Allow remembering device for 30 days」にチェックを入れます。

3.「Wordfence Login Security」の初期設定12

これが上で書いた「信頼できるデバイス」の設定です。

「Allow remembering device for 30 days」にチェックを入れると「信頼できるデバイス」が有効になり、いつも使っている端末であれば2段階認証によって1回ログインに成功した後は30日間2段階認証がスキップされます。

この機能はブラウザのcookieで設定されるので、cookieを削除すると当該デバイスの2段階認証はリセットされます。

「Delete Login Security tables and data on deactivation」

「Delete Login Security tables and data on deactivation」にチェックを入れます。

3.「Wordfence Login Security」の初期設定13

「Delete Login Security tables and data on deactivation」にチェックを入れると、この「Wordfence Login Security」プラグインを無効化したときに、「Wordfence Login Security」によって作成されたデータや設定情報が削除されます。

「Wordfence Login Security」のデータや設定情報が削除されると、再度「Wordfence Login Security」を有効化したときに一からセットアップする必要があります。

ただ恒久的に「Wordfence Login Security」を無効化したい場合などは、WordPress内に「Wordfence Login Security」のデータを残さずに無効化できるのでチェックを入れておいたほうが良いと思います。

設定を保存

最後に忘れずに「SAVE」をクリックして設定を保存しましょう。

2段階認証でログインしてみる

それでは実際にログインしてみましょう。

すでにWordPressにログインしている場合は一度ログアウトして、WordPressのログイン画面を開きます。

まずはこれまで通りユーザー名とパスワードの認証(1段階目)になるので、ユーザー名とパスワードを入力して「ログイン」をクリックします。

2段階認証でログインしてみる1

すると「2FA Code」の入力画面になり、2段階目の認証が求められるようになったはずです。

2段階認証でログインしてみる2

“2FA” とは “Two Factor Authentication” の略です。

「LastPass Authenticator」(スマホの認証アプリ)に表示されている「Wordfence」の認証コード6桁「2FA Code」に入力して「Log In」をクリックします。

「信頼できるデバイス」として30日間2段階認証をスキップさせる場合は「Remember for 30days」にチェックを入れます。

これで2段階認証によってWordPressにログインできます。

まとめ

WordPressに2段階認証を導入する方法を解説しました。

「Wordfence Login Security」を使えば簡単に2段階認証を導入することができます。

2段階認証は不正ログインに対してとても有効な方法ですので早めに導入することをおすすめします。

タイトルとURLをコピーしました