FacebookやGoogleのような大手サイトはセキュリティに真剣に取り組んでおり、アカウントを保護するために2要素認証(2FA)の使用を求めています。それは、2FAがセキュリティのレイヤーを追加し、ハッカーの侵入をより困難にするためです。
WordPressサイトも同様に安全です。WordPressユーザーに2要素認証を追加することは、小規模なブログを運営している場合でも、多忙なオンラインストアを運営している場合でも、賢い方法です。
この投稿では、プラグインと認証アプリを使ってWordPressサイトに2FAを設定する方法を説明します。思っているより簡単で、サイトを安全に保つ上で大きな違いをもたらします。
なぜWordPressに2要素認証を追加するのか?
ハッカーが使用する最も一般的なトリックの1つは、ブルートフォース攻撃と呼ばれるものです。この攻撃では、自動化されたスクリプトを使用して正しいユーザー名とパスワードを推測し、WordPressサイトにログインできるようにします。
ブルートフォース攻撃に成功すると、ハッカーはあなたのサイトの管理エリアにアクセスできるようになります。彼らはマルウェアをインストールし、ユーザー情報を盗み、サイト上のすべてを削除することができます。
盗まれたパスワードからWordPressサイトを保護する最も簡単な方法の1つは、2要素認証(2FA)を追加することです。この設定では、サイトにログインするために、パスワードと二次コード(アプリ、メール、テキストメッセージ)の両方を入力する必要があります。
こうすることで、たとえ誰かがあなたのパスワードを盗んだとしても、あなたの携帯電話からセキュリティ・コードを入力しなければアクセスできなくなる。
認証アプリとは?
WordPressで2段階ログインを設定する方法は複数あります。しかし、最も安全で簡単な方法は、認証アプリを使用することです。
ジェネレータ・アプリは、スマートフォンのアプリで、保存したアカウントに一時的なワンタイムパスワードを生成する。
基本的に、アプリとサーバーはシークレットキーを使って情報を暗号化し、ワンタイムコードを生成します。
無料で利用できるアプリはたくさんある:
- 最もポピュラーなアプリはGoogle Authenticatorだが、ベストな選択とは言えない。携帯電話を紛失した場合、事前にバックアップ・コピーを作成しない限り、アカウントを復元する方法がないからだ。
- Authyは使いやすく無料のアプリで、アカウントを暗号化してクラウド上に保存できるので、Authyを使うことをお勧めします。この方法なら、携帯電話を紛失しても、マスターパスワードを入力するだけですべてのアカウントを復元できます。
- LastPassや 1Passwordのような他のパスワード・マネージャーには、すべて独自の認証機能がついている。これらの認証機能はGoogle認証よりも優れており、キーの復元が可能です。
このチュートリアルでは、Authyを使用します。すべて同じように動作するので、必要であれば別のアプリを使ってチュートリアルに従うことができます。
それでは、WordPressに2FAを追加する方法を見ていきましょう。以下のリンクをクリックして、お好みの方法にジャンプしてください:
それでは、WordPressのログイン画面に2要素認証を無料で簡単に追加する方法を見ていきましょう。
方法1:WP 2FAを使って2要素認証を追加する
この方法は簡単で、すべてのユーザーにお勧めします。柔軟性があり、すべてのユーザーに2要素認証を強制することができます。
まず、WP 2FA – 2要素認証プラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。
有効化すると、WPA 2FAセットアップウィザードが自動的に起動します。そうでない場合は、ユーザー ” プロフィールページにアクセスし、’WP 2FA Settings’セクションまでスクロールダウンしてください。
2要素認証(2FA)の設定」ボタンをクリックすると、セットアップウィザードが起動します。
WP 2FAセットアップウィザード
Let’s Get Started!」ボタンをクリックするだけで、プラグインの設定が開始されます。
次のページでは、認証方法を選択するよう求められます。
オプションは2つある:
- ご希望の2FAアプリで生成されたワンタイムコード(推奨)
- ワンタイム・コードをメールでお送りします。
より安全で信頼性の高い2FAアプリ(TOTP)による認証を選択することをお勧めします。
選択したら、「セットアップを続ける」ボタンをクリックして、セットアップ・ウィザードの次のページに進みます。
携帯電話を紛失した場合など、プライマリ2FA方式が失敗した場合に、ユーザーにどの代替2FA方式を使用させたいかを尋ねられます。
無料プランでは、バックアップコード方法のみが利用可能です。より多くの代替2FA方法が必要な場合は、WP 2FA Premiumにアップグレードする必要があります。
Continue Setup(セットアップを続ける)」ボタンをクリックするだけで、次のページに進みます。
このページでは、一部のユーザーまたはすべてのユーザーに2要素ログインを必須にすることができます。特に、会員制サイトのように複数のユーザーが利用するWordPressサイトを運営している場合は、この設定をお勧めします。
サイト上のすべてのユーザーに2FAを適用したい場合は、「All users」オプションを選択して「Continue Setup」をクリックするだけです。
これですべてのユーザーに2FAの使用が必須になります。
しかし、あなたのサイトには、2FAの使用を強制したくないユーザーがいるかもしれません。次のページでは、それらのチームメンバーのユーザー名またはユーザー権限を入力できます。
設定が完了したら、’Continue Setup’ボタンをクリックすると、ユーザーがどのくらい早く2FAを使い始める必要があるかを決めるページに移動します。
すぐに開始することを必須とすることもできますし、例えば3日間の猶予期間を設けて、セットアップの時間を確保することもできます。あなたのサイトで使いたいオプションをクリックしてください。
猶予期間を設けたい場合は、何時間または何日にするかを選択できます。初期設定の3日間で、ほとんどのサイトに対応できます。
また、2FAを設定していないユーザーがいる場合、猶予期間終了後にどうするかの設定オプションもあります。ログインはさせるがダッシュボードにはアクセスさせない、またはログインできないようにすべてブロックすることができます。ほとんどのサイトでは、最初の設定が最適でしょう。
選択したら、「すべて完了」をクリックしてセットアップウィザードを終了します。おめでとうございます、これでサイトに2要素認証が設定されました!
おめでとうございます」というメッセージとともに、セットアップ完了画面が表示されます。自分のユーザーアカウントに2FAを設定するボタンも表示されます。Configure 2FA Now」ボタンをクリックしてください。
自分のユーザーアカウントに対する2要素認証の設定
新しいセットアップウィザードが起動し、自分のユーザーアカウントに2要素認証を設定できます。あなたのサイトの他のユーザーも同様に設定するよう促されます。
最初に決める必要があるのは、どの2FA方式を使うかだ。認証アプリ経由のワンタイムコードのオプションが表示されるはずです。セットアップウィザードで選択した内容によっては、他のオプションが表示されることもあります。
2FAアプリでワンタイムコード」オプションを設定し、「次のステップ」ボタンをクリックするだけです。
プラグインはQRコードとテキストコードを表示します。
認証アプリを使ってQRコードをスキャンする必要があります。または、アプリにテキストコードを手入力することもできます。
携帯端末を手に取り、お好きな認証アプリを開いてください。以下のスクリーンショットはAuthyを使用していますが、他のアプリも同様の方法で動作します。
まず、認証アプリの「+」または「アカウントを追加」ボタンをクリックします。
アプリはあなたの携帯電話のカメラにアクセスする権限を要求します。
この権限を許可し、「QRコードをスキャン」ボタンをタップして、プラグインの設定ページに表示されているQRコードをコンピューターでスキャンできるようにする必要があります。
アプリがQRコードを認識すると、自動的にアカウントの保存が開始されます。
その後、アカウントの初期ロゴとニックネームを編集できます。準備ができたら、「保存」ボタンをタップしてください。
認証アプリがあなたのサイトアカウントを保存します。
次に、ワンタイムパスワードが表示されます。これをコンピューターのプラグイン設定で入力する必要があります。
さて、コンピューターに戻る必要がある。
プラグインのセットアップウィザードで、「I’m Ready」ボタンをクリックして続行します。
プラグインがワンタイムパスワードを確認するよう求めます。
有効期限が切れる前に、モバイルアプリのコードを「認証コード」フィールドにタイプするだけです。
その後、’Validate & Save’ボタンをクリックしてセットアップを完了します。
次に、バックアップコードのリストを生成して保存するオプションが与えられます。これらのコードは、携帯電話にアクセスできない場合に使用できます。
バックアップコードのリストをジェネレータする」ボタンをクリックします。
バックアップコードが生成され、表示されます。
これらのバックアップ・コードをコンピューターの安全な場所にダウンロードしたり、印刷して安全な場所に置いたり、メールで自分に送ったりすることができます。携帯電話を持っていない場合は、本当に〜してもよいですか?
その後、’I’m Ready, Close the Wizard’ボタンをクリックしてセットアップウィザードを終了します。
ログイン中の2要素認証の使用について
次回ログイン中、ユーザーには猶予期間終了の期限とともに、2要素認証の設定が必要である旨の通知が表示されます。
ボタンをクリックして今すぐ2FAを設定するか、次回のログイン時にリマインドされるかを選択できる。
ユーザーが「Configure 2FA now(今すぐ2FAを設定する)」ボタンをクリックすると、前のセクションで自分のユーザーアカウントに2FAを設定したときと同じ手順が表示されます。
2要素認証の設定後にログインすると、通常通りWordPressのログイン画面が表示されます。しかし、ユーザー名とパスワードを入力すると、2つ目の画面が表示され、認証アプリからコードを要求されます。
ログインする前に、携帯電話のアプリからコードを入力する必要があります。また、携帯電話を持っていない場合は、バックアップコードを入力することもできる。
これにより、サイトの安全性が高まります。ハッカーがユーザーのユーザー名とパスワードを知ったとしても、そのユーザーの携帯電話にもアクセスできない限り、ログインすることはできません。
ヒント:WordPressサイトがカスタムログインフォームページを使用している場合、ユーザーがWordPress管理エリアにアクセスせずに2要素認証の設定を管理できるカスタムページを作成することもできます。
方法2:2要素認証を追加する 2要素認証を使用する
この方法では、すべてのユーザーに2要素ログインを強制する権限がありませんので、柔軟性に欠けます。各ユーザーが自分で設定し、プロフィールから無効化する必要があります。しかし、自分のアカウントにだけ2FAを設定したいのであれば、迅速で簡単な方法です。
まず、Two-Factorプラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。
有効化した後、ユーザー ” プロフィールページにアクセスし、「2ファクターオプション」セクションまでスクロールダウンする必要があります。
ここから、二要素ログインオプションを設定する必要があります。プラグインでは、メール、認証アプリ、FIDO U2F Security Keysの方法を使用できます。
認証アプリを使用する方法をお勧めします。Google Authenticator、Authy、LastPass Authenticatorなどの認証アプリを使って画面のQRコードをスキャンするだけです。
QRコードをスキャンすると、アプリに認証コードが表示されるので、プラグインオプションに入力して「送信」ボタンをクリックする。
プラグインがシークレットキーを設定します。このキーは設定ページからいつでもリセットでき、QRコードを再スキャンできます。
ページ下部の「プロフィールを更新」ボタンをクリックし、設定を保存することをお忘れなく。
これでWordPressサイトにログインするたびに、アプリが生成した認証コードをスマホに入力するよう求められます。
WordPressの2要素認証(2FA)に関するFAQ
WordPressの2段階ログインについて、よくある質問にお答えします。
1.携帯電話にアクセスできない場合、2FAでログインするにはどうすればよいですか?
Authyのようなクラウドバックアップ設定付きの認証アプリを使用している場合は、ラップトップにもアプリをインストールできます。
これにより、携帯電話を持っていないときでも認証コードにアクセスできる。また、携帯電話を買い替えた際にも、シークレットキーを簡単に復元することができます。
多くの認証アプリでは、バックアップコードを生成することもできます。これらのコードは、携帯電話にアクセスできないときにワンタイムパスコードとして使用できます。
2.認証アプリからコードなしでログインするには?
携帯電話、ラップトップ、バックアップコードにアクセスできない場合は、2FAプラグインを無効化することでしかログインできない。
管理エリアにアクセスできないときにWordPressのプラグインをすべて無効化する方法については、こちらのガイドをご覧ください。
すべてのプラグインを無効化すると、2要素認証プラグインも無効化され、WordPressサイトにログインできるようになります。ログイン中、プラグインを再度有効にし、2要素認証設定をリセットすることができます。
3.WordPressの管理フォルダーをパスワードで保護する必要がありますか?
ウェブサイトのセキュリティは、HTTPSの使用や安全なWordPressホスティングサービスなどの基本的なことから始めて、ウェブサイトを保護するために複数のセキュリティ層を持つ場合に最も効果的です。
二要素認証はWordPressログインの安全性を高めますが、WordPress管理ディレクトリをパスワードで保護することで、さらに安全性を高めることができます。これは、ユーザーが最初にユーザー名とパスワードを入力しない限り、ログインページにアクセスできないことを意味します。
WordPressログインの保護に関するエキスパートガイド
WordPressに2要素認証を追加する方法はお分かりいただけたと思いますが、WordPressログインをより安全にするための他の投稿もご覧ください。
- WordPressでログイン試行を制限する方法と理由
- WordPressでカスタムログインURLを追加する方法(ステップバイステップ)
- WordPressのログイン・登録フォームにCAPTCHAを追加する方法
- WordPressのログイン画面にセキュリティの質問を追加する方法
- WordPressのログインエラーメッセージでログインヒントを無効化する方法
- WordPress管理者(wp-admin)ディレクトリをパスワードで保護する方法
- WordPressのwp-login.phpファイルへのIPによるアクセスを制限する方法
- WordPressにマジックリンクでパスワードレスログインを追加する方法
- ブルートフォース攻撃からWordPressサイトを守る方法
この投稿が WordPress ログインに 2 要素認証を追加するのにお役に立てば幸いです。WordPress サイトに無料の SSL 証明書を取得する方法や、WordPress セキュリティプラグインのエキスパートによるベストセレクションもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Felix
Cloud Syncing feature is now available at Google Authenticator. So, you won’t lose your accounts even if the phone is lost. For me, personally, I use Google Authenticator because it’s more convenient for me as a Google user.
Moinuddin Waheed
two factor authentication is a must have things for the security of the websites.
I have used it after learning a horrible lesson from a shared hosting account. my website was corrupted and malfunctioned and I had no clue what to do.
when I made fresh installation the first thing I did to enable two factor authentication.
this might at times seem an additional thing to do while logging in but it saves from a large headache that may cause if account is compromised.
I want to know how the hackers or brute force attackers target a website?
do they have database of websites stolen from hosting providers or just they do it randomly?
WPBeginner Support
There are different ways that sites are targeted but in the long run it is random.
管理者
Jiří Vaněk
I use two-factor authentication for administration integrated into the Wordfence plugin, which also serves for overall website protection. Additionally, I would recommend changing the URL address from wp-admin to something custom for added security.
WPBeginner Support
While that can be done we would warn against it. If you change the wp-admin url it can cause conflicts with some plugins and can make any site troubleshooting more difficult.
管理者
Jiří Vaněk
Okay, thank you for the advice. I’ve changed the URL on many websites, and so far, I’ve never had any issues with it. It might also be because I use a very similar, trusted series of plugins on many of these sites that I’m familiar with. Nevertheless, thanks for the warning.
J P Welch
I’d like to use 2FA on one link to several pages of data, but not the entire site. Is that possible?
WPBeginner Support
While possible, we don’t have a recommended plugin to achieve that at the moment, we will be sure to keep an eye out!
管理者
Skye
What if you migrate your website to a different domain- will your 2FA be linked to the old domain? Would you have to deactivate it before migrating your website to the new host and domain?
Bikash Rai
How to remove two factor authentication that I get every time I login. I want to simply get rid of this thing.
Thanks in advance!
WPBeginner Support
It would depend on which method you used to set it up, if you used the plugin then you would remove the plugin to remove the two factor authentication. Should you be unable to remove it, if you reach out to your hosting provider they should be able to assist.
管理者
MuZa
Hey please update this post. This plugin is too old and not tested on three major updates of WordPress.
WPBeginner Support
Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated
管理者
Lisa Smith
Found this to be really helpful related to Two Factor, but FYI – the Two Factor SMS plugin hasn’t been updated in several WP versions.
WPBeginner Support
Thank you for letting us know, we’ll be sure to take a look into this for other plugin options
管理者
Harman
You can simply do it via wordpress.com.
Anna Walton
I’ve followed your exact instructions just now to set up 2FA with Twilio. I logged out after finishing the set-up as per the article, and now I can’t get back into my site! I get the code from Twilio, but it says there’s an error! Unfortunately, I’d not yet set up the 2FA with the authenticator app, as I followed the steps in the article, which was to log out first to see it working. Can you advise please? I’ve checked your article https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, but this doesn’t seem to cover getting locked out due to 2FA error. I use your site loads, and think your guidance is great! Please help on this one!!
WPBeginner Support
Hi Anna,
You can manually delete the plugin using FTP. Connect to your website and go to /wp-content/plugins/ folder and then delete two-factor and two-factor-sms folders. You can always reinstall the plugins after login.
管理者
Patrick Bartkus
FreeOTP is an Open Source alternative to Google Authenticator. It is not controlled by Google and is maintained by Red Hat under the Apache 2.0 license. It is available for iOS and Android. It also works on Google sites.