WordPress サイトに Google Authenticator 2 段階認証を追加しますか?
ハッカーや不正ユーザーを防ぐには、パスワードだけでは不十分です。Google Authenticator 2段階認証を使用することで、サイトのセキュリティをさらに高めることができます。
この投稿では、Google Authenticatorアプリを使用してWordPressサイトに2段階認証を追加する方法を紹介します。
Google Authenticatorアプリとは?なぜWordPressサイトに必要なのか?
Google Authenticatorアプリは、サードパーティのアプリやWordPressのようなサイトにログインするたびに、2層目の認証を追加するモバイルアプリケーションです。
残念ながら、パスワードは時としてクラックされることがあります。多数のサイトで同じパスワードを使用している場合、1つのサイトでセキュリティが漏れると、他のアカウントも危険にさらされる。多くの場合、人々は怠惰であり、主要サイトのセキュリティ侵害に関するメールを受け取った後でもパスワードを変更しない。
2段階認証はそのためのソリューションです。ハッカーがWordPressのユーザー名とパスワードを知っていたとしても、時間制限のあるランダムなセキュリティコード(Google Authenticatorが提供)を持っていない限り、WordPressサイトにアクセスすることはできません。
あなたのブログはモバイル端末に直接接続されているため、各ログインに固有のコードを取得できるのはあなただけです。セキュリティのため、コードは短時間で失効します。
Google Authenticatorアプリは、様々なオンラインアカウントやサービスに2要素認証(2FA)を提供するモバイルアプリケーションの一例に過ぎない。
ジェネレータは、アカウントにログ記録する際の認証の第2要素として機能する、時間ベースのワンタイムパスワード(TOTP)を生成する。
WordPressのセキュリティの重要性についてまだ納得していないのであれば、Wired.comのある投稿者のデジタルライフがどのように破壊されたかを見るべきだろう。
その話を読んでから、私たちはGoogleアカウントやこの機能を提供している他のほとんどのサービスの2段階認証に飛びついた。もしあなたが私たちと同じようにセキュリティに敏感で、自分のブログを大切にしているのであれば、WordPressのセキュリティを向上させるためにこのヒントに従うべきだ。
注: Google Authenticator は、iOS、Android、Windows Phone、webOS、PalmOS、BlackBerry 端末でのみ機能します。つまり、サイトにログインするにはスマートフォンが必要です。
セキュリティをさらに向上させるために、他の方法にも目を向けることをお勧めします。例えば、1Passwordのようなソフトウェアを使えば、パスワードを一元管理し、潜在的なハッカーに耐えられるだけの強度を確保することができます。
それでは、WordPress サイトに Google Authenticator 2 段階認証を追加する方法のチュートリアルに入りましょう。
WordPressにGoogle認証機能を追加する方法
最初に行う必要があるのは、Google Authenticatorアプリを携帯電話にインストールすることです。このチュートリアルではiOSの用語を使用しますが、他の端末でも同様の手順を実行できます。
ステップ 1: Google 認証アプリを端末にインストールする。
App Storeにアクセスし、「Google Authenticator」を検索し、アプリケーションの「インストール」をクリックします。
さて、WordPressダッシュボードに戻りましょう。
ステップ2: MiniOrangeのGoogle Authenticatorプラグインをインストールする。
MiniOrangeのGoogle Authenticatorプラグインをインストールして有効化してください。詳しくはWordPressプラグインのインストール方法をご覧ください。
これは、不正アクセスからサイトを保護するための無料の WordPress プラグインです。WordPress にログインするたびに、Google Authenticator アプリからワンタイムパスコードの入力を求められ、本人確認が行われます。
プラグインを有効化すると、セットアップウィザードが表示されます。手順に従って、WordPress で Google Authenticator 2 要素認証を設定します。
ステップ3:セットアップウィザードの完了
さっそく始めよう!」ボタンをクリックしてください。
次に、初回ログイン後に2FAを設定するか、プラグインダッシュボード内で設定するかを尋ねられます。どちらの方法でも構いません。
セットアップを続ける」をクリックする。
次のステップは、2FAを適用するユーザーを選択することです。最大限のセキュリティのためにすべてのユーザーを選択することも、特定のユーザー権限グループにのみ適用させることもできます。
そして「セットアップを続ける」を押す。
最後に、2FAを直ちに直接適用するか、ユーザーに猶予期間を与えるかを尋ねられる。
ユーザーに猶予期間を与える場合は、その期間を時間単位と日単位で選択できます。それが完了したら、「すべて完了」をクリックする。
これでセットアップ・プロセスが完了したので、今すぐ自分のために2FAをセットアップするか、後でセットアップするかを決めることができる。
自分用に2FAを設定する」ボタンを押してください。
ここから、WordPressサイトに追加したい2要素認証の方法を入力するよう求められます。
このチュートリアルでは、「Google/Microsoft/Authy Authenticator」を選択する。そして、「Save & Continue」ボタンを押す。
次に、画面上のバーコードをスキャンするよう求められます。つまり、スマホでGoogle Authenticatorアプリを起動し、表示されたバーコードをスキャンする必要があります。
モバイル端末の Google 認証機能アプリで、下部にある「+」アイコンを押し、「QR コードをスキャン」を選択します。次に、携帯電話のカメラをコンピューターの画面に向け、バーコードをスキャンします。
ここから、ワンタイムパスコード(OTP)が端末に表示されます。
それをコンピューターでステップ2に入力する。そこから「Save & Continue」をクリックします。
これで、2要素認証の設定に成功したというメッセージが表示されるはずです。
高度な設定』を選択するだけです。
ステップ4:セキュリティの質問を追加する
Google Authenticator 2ファクタ認証を追加するだけでなく、セキュリティの質問も追加したいでしょう。
Google Authenticatorアプリにアクセスできない場合でも、自分で設定したセキュリティ質問に答えれば、WordPressサイトにログインできます。
WordPressダッシュボードのMini Orange 2-Factor ” Two Factorページにアクセスします。そして、「Setup 2FA For Me」タブで「Security Questions」メソッドを見つけ、「Reconfigure」をクリックします。
Eメール認証、OTP over SMS、OTP over Eメール、OTP over Telegram、さらにはDuo Authenticatorなど、他のタイプの2要素認証方法も設定できることを覚えておいてください。
次に、セキュリティに関する質問を3つまで選択できます。そのうち2つはドロップダウンメニューから選択でき、3つ目は自分で考えたカスタマイザー質問になります。
そして、それぞれの答えを入力し、「保存」ボタンを押す。
ステップ5:自分で試す
すべてがセットアップされたら、自分でテストすることができる。
WordPressダッシュボードからログアウトし、再度ログインしてみてください。
セキュリティに関する質問に答えるか、Google Authenticator を使用してワンタイムパスコードを入力するページが表示されます。
Google Authenticator」オプションを設定します。
この画面で、Google Authenticator アプリから OTP を入力するよう求められます。
コードタイプを入力し、’Validate’をクリックする。
これで、いつものようにWordPressの管理ダッシュボードに戻ります。
最後に、Googleアカウントの2段階認証をオンにすることをお勧めします。このチュートリアルにあるように、Google Authenticatorで設定することもできます。
この投稿が、WordPress サイトに Google Authenticator 2 段階認証を追加する際にお役に立てば幸いです。また、WordPress の最も一般的なエラーとその修正方法に関する投稿や、WordPress の速度とパフォーマンスを向上させる究極のガイドもご覧ください。
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
David says
I just tried this and it locked me out of my website. The codes weren’t working. How can I remove this authenticator and get my site back. Pls help
WPBeginner Support says
You can deactivate the plugin following our guide below:
https://www.wpbeginner.com/beginners-guide/how-to-easily-deactivate-wordpress-plugins/
管理者
ANOOP VAISH says
what have to do if mobile lost please discribe
WPBeginner Support says
Hi Anoop,
In that case you will have to deactivate WordPress plugins via FTP to login.
管理者
yasir khan saqlaini says
i am using this feature but i want to know how will i get google authenticator code while login wp dashbord.
WPBeginner Support says
Hello Yasir,
You will get Google Authenticator code inside the app you installed on your phone.
管理者
Danny D says
I’m surprised that nobody has mentioned Clef. This is the best 2-factor authentication for WordPress (and a lot of other websites as well). No passwords involved after initial setup. They have iOS and Android apps as well as chrome extensions to help with the setup. Works like a charm for me.
Sacha says
I agree – I absolutely love Clef. It makes things so easy and secure.
rohit says
Message To Syed Balkhi,
Well Fake GURUs Try to hack my website 100 Times a day Finally I have started using Google Authenticator and I change my Password every 10 days. I appreciate Your skills Thanks a lot.
Akhil K A says
Hi.
The plugin is compatible up to WP 3.8.8
Can I install on the latest version?
Thanks.
WPBeginner Support says
Yes you can. Please see, Should you install plugins not tested with your WordPress version.
管理者
Erick Perez says
you guys don’t use this on your own website, how come?
handi priyono says
Hello dude,, thanks for help me by writting this useful post.
this post very help me to prevent hacker to login to my web. thanks !!
WPBeginner Staff says
Please contact WordPress.com support.
WPBeginner Staff says
You can deactivate the plugin using an FTP client. See our guide on how to disable all plugins using FTP without wp-admin access.
Kavitha Krishnan says
I am using the WP.com hosting. So this option will not work for me.
Kavitha Krishnan says
Hi, I have uninstalled the Google app by mistake now i am unable to login to WP. i requested the account recovery also nothing worked. Is there any solution for my issue.
Sriram says
Hi,
What if I have a custom login page? How can I integrate this plugin in my custom login page?
Lorena Dennison says
I have my wordpress blog set up to receive a SMS code to log in… well my cell phone is shut off and can’t get the SMS Code…. so how can I log in and take that SMS off my blog?
WPBeginner Support says
You can’t unless you disable the plugin used to enable this two step authentication.
管理者
Kamran Abdul Aziz says
Aha, Google Authenticator & Authy they always works for me,
However is there any option where we can force users to use 2 Step verification?
Am not allowing my users to access the Backend, Their profile & everything is limited to front end only.
I don’t want them to access their backend & Setup 2 step.
Any solutions?
Brenda says
I installed the two-step google authenticator, both the app and the plugin. I updated the app and now all of the sudden I can’t generate a verification code, and therefore have not been able to login to my WordPress. I have no idea what “login using FTP” or who my webmaster is. I signed up for a free worpress account because I wanted to start a little blog and now it appears to me I have to be a computer wizard to do something so basic, which is login!! Can you please help? And explain it to me like I’m a third grader. I don’t have the tech savviness you all do.
Thank you in advance
WPBeginner Support says
You mentioned that you have a free WordPress account. Does your blog address has wordpress.com in it? If that’s the case, then this tutorial is not for you. You need to contact WordPress.com support for assistance.
管理者
Zulfa Permata Suri says
I have set up two-step authentication for my wordpress blog. Suddenly I cant log-in it said the authentication code that i type is invalid and now I am locked out of my wordpress account.
Help me please, I want to use my wordpress but I cant log-in T.T
Editorial Staff says
Login to WordPress using FTP and delete the plugin.
管理者
Alyson says
Hi – I lost my phone with my google authenticator on it and now I can’t get into my site. I don’t know how to log in using ftp ..
HELP?
Thanks!
Editorial Staff says
Contact your webhosting provider. They’re the only one who have your FTP access and can help delete the plugin.
Cara Isaacs says
Hey,
I recently set up two-step authentication for my wordpress blog. Downloaded the google app and it all worked fine with log-in. Then changed the name of my blog and accidentally deleted the google authenticator app and now I am locked out of my wordpress account as it asks for the code yet I cannot generate a code because I can’t access my account to get the key.
I hope you can help.. PLEASE!
Editorial Staff says
Use FTP to delete the plugin.
管理者
Cara says
Thanks for your reply. I just downloaded the ftp software except it can’t seem to connect to the server. Looks like I will be starting a new blog…
Editorial Staff says
Hey Cara. Starting a new blog is not a good solution. Please get in touch with your hosting provider or send us an email. We can help you restore this and get it sorted out.
Everett Patterson says
Well I did some research and found that the hosting time may be different than the phone time and may cause issues with the codes.
I was able to log in to my Cpanel and delete the plugin. I still want to use it though so I added it back in and used the relaxed mode this time. Seems to be working now.
Thanks for this post, very helpful.
Everett Patterson says
Uh Oh. I locked myself out of my site.
Here’s what I did:
Added the plugin to my blog
Activated it, but didn’t check the “Active” box
Added authenticator to my android
Scanned the QR code
Checked “Active” box
Signed out
My phone gives me a new code every minute, but none of them work. What now?
Austin says
I did this too…. I logged into my host via FTP and deleted the Google Authenticator plugin.
Then I went through the process again and the plugin/app combo worked like a charm!
Hope you’re able to get back into your site (if you haven’t already).
Maria Muir says
I installed the plugin, followed the simple steps and have now been locked out of my site. I also have the failed attempt log in plugin which has blocked me for 3 failed attempts so now have to wait. I did put in the correct details and authentication code, I tripled checked the installation and settings, all are correct. So why can’t I log back in?
Editorial Staff says
Run this plugin in the relaxed mode.
管理者
Chris Burbridge says
It does concern me that when you install the plugin, you have to activate it user by user. That doesn’t make sense to me. Wouldn’t an administrator want to have it work for all users, otherwise there are holes in the net?
I have been trying this one, which is really great — http://wordpress.org/extend/plugins/duo-wordpress/ — there’s a free option, and it works similarly. It is very slick, with a smart phone.
Editorial Staff says
The reason why Google Authenticator requires each user to enable it themselves is because they have to connect their device with it. Google Authenticator is a great solution if you don’t like paying for a service. We are using it on our site. All we did was send an email to all users and ask them to turn it on.
Yes it requires a little bit of extra work, but it is surely worth it for a small company like ours. If you have hundreds of people in your team, then it would be worth to automate it with a service like the one you linked.
管理者
Michael says
This works great with Limit Login Attempts plug in. Great security feature if your blog does not have SSL capabilities.
yatin says
i love your site
very helpful
what if Google authenticator app got uninstalled by mistake !!!!
after that how can i login in my wordpress site ?
Editorial Staff says
Delete the plugin. Then re-do the process.
管理者
Gerard says
Good article, good plugin and good subject
Love Authenticator app.
Kind regards,
Gerard.
Umer Rock says
Buy Syed bro it is not linked to google account ? then why you used google athenticator word , i think it is kind of 2 step verification system only,
Editorial Staff says
If you read the post carefully, you will see that the app this plugin uses is called Google Authenticator. Without using that application this would not work. If you actually follow the tutorial and download the application, then you will see that application is made by Google Inc.
管理者
Hadley says
I was able to successfully set up the Google Authenticator app for myself as an admin on my site, but was not able to set it up successfully for an editor on the same site. On the other user’s profile settings under Google Authenticator, the only options are to hide the Authenticator settings or make the user active with Google Authenticator. There aren’t the same options to type in a site description or view a secret code. After installing the app successfully to the other user’s phone, she was not able to sign in to the site and I’m wondering if this is due to the profile settings. Any advice?
Editorial Staff says
Interesting. It is probably best to contact the plugin author and see what the issue could be.
管理者
Ahmad Awais says
Putting our login authentication in hands of a 3rd party plugin?
Not more than 5k Downloads! What about its authenticity? Are you using it yourself #justcurious.
I am happy with .htpaswrd file.
Should we trust this code?
Except this a nice plugin for sure.
Editorial Staff says
The plugin has low downloads because not many people have jumped on board with this 2-step verification method. If you are happy with .htpaswd, then good for you. Yes, we are using it on our site along with all the other security measures.
管理者
Dilawer Pirzada says
Buzz! After my great efforts on securing WordPress blog from spammers and hackers, I myself today found a great plugin to stop hackers!
Thanks for the plugin!
Santel Phin says
Hi,
I have completed the setup and it works great. But do I have possibility to choose how to the verification code.
I did the same setup for my Google account, but it send via SMS in stead. And I do prefer this mode as well if it is possible.
But I don’t see any setting to chose send via SMS. Hope you can give me an idea if it is possible or not.
Thanks
Editorial Staff says
No the SMS option is not available. Mainly because for that you need a sending service which blogs are not equipped with. There is another plugin called “2-step verification” that has the option to email the code. But no SMS.
管理者
Navneet Singh says
Plugin looking simple and POWERFUL.!!
Saad says
This Will Be Useful For Stopping Brute Force
Geoffrey Gordon says
Thanks Syed
WordPress security has always been a big issue in general, so the more educated people are regarding WordPress security the better. This is especially important as people see WordPress as a quick way to get a website up and running. Then one day without warning BANG their website is down by some hacker.
Busy checking out the Google authentication plugin for WordPress, looks good. I have ask though with all the security plugin’s installed on ones blog plus other plugins it tends to slow down the website. Sometimes its better to code what a plugin can do straight into your blog, rather than keep adding another plugin.
Editorial Staff says
This plugin works in the backend, so it will not have an impact on your site’s load time on the front-end.
管理者
Landfoci says
Good plugin. Thanks your share