【WordPress】二要素認証プラグイン「Two-Factor」の設定方法

とうこ(@ouchiworks_toko)です。

 

この記事では、WordPress(ワードプレス)のログイン画面に二要素認証の機能を追加できるプラグイン「Two-Factor」の設定方法を画像を使ってわかりやすく解説します。

 

WordPressに二要素認証の機能を追加することで、ユーザー名とパスワードのあとに別の方法で本人確認をすることができるので、ユーザー名やパスワードを不正入手した第三者によるログインや、なりすましなどによる被害に備えることができます。

 

この記事を読んで、WordPressのログイン画面に二要素認証の機能を追加する方法を学び、あなたのサイトを守ってくださいね。

 

この記事を読んでできるようになること

WordPressのログイン画面でログインすると、二要素認証のパスワードを要求されるようになる。

二要素認証の認証方式を「メール」「ワンタイムパスワード」「セキュリティキー」「認証キー(使い捨て)」の4種類から選択できる。

 

プラグイン「Two-Factor」とは?

プラグイン「Two-Factor」は、WordPressのログイン画面に二要素認証を機能を追加することができるプラグインです。

 

「Two-Factor」を有効化して二要素認証の機能を追加すると、WordPressにログインしたあとに、パスワードを要求されるようになります。

 

「Two-Factor」は複数の認証方式(メール、ワンタイムパスワード、セキュリティキー、認証キー(使い捨て))に対応しており、好きな認証方式を選択することができます。

 

また、「Two-Factor」は英語ではなく日本語化されているので、とてもわかりやすく使いやすいです。

 

「ワードプレスに二要素認証を導入するのは何だか難しそう…」と導入をためらっている方や「二要素認証はメールを利用したい」という方におすすめのプラグインです。

 

プラグイン「Two Factor」をインストールする方法

WordPressのダッシュボードメニューにある「プラグイン」→「新規追加」をクリックします。

 

キーワード検索窓に「Two-Factor」と入力します。

 

「Two-Factor」を見つけたら「今すぐインストール」をクリックします。

 

インストールが完了したら「有効化」をクリックし、プラグインを有効化します。

 

プラグイン「Two-Factor」の設定方法

プラグイン「Two-Factor」の設定画面は「プロフィール」にあります。

 

ここでは、

① メールを利用して認証する

② ワンタイムパスワードを利用して認証する

③ セキュリティーキーを利用して認証する

④ バックアップ検証コード(使い捨て)を利用して認証する

の4つの方法を順番に解説します。

 

まず、WordPressのダッシュボードメニューにある「ユーザー」にある「プロフィール」をクリックしまてください。

 

メールを利用して認証する

メールを利用して認証する方法は、WordPressにログイン後、WordPressのユーザーアカウントに登録したメールアドレス宛に「認証コード(ログイン確認コード)」が記載されたメールが送信され、その認証コードをログイン後の認証画面に入力する」というものです。

 

なお、認証コードは8桁あり、ログインするたびに新しく生成された認証コードがメールに送信されます。

 

設定方法

Two-factor設定の「メール」にある「有効」「メイン」にチェックを入れます。

 

チェックを入れたら「プロフィールを更新」をクリックします。

 

最後に、動作確認のために、WordPressを一旦ログアウトします。

 

ログイン画面でログインをすると、WordPressのユーザーアカウントに登録したメールアドレス宛に「認証コード」が記載されたメールが送信されます。

 

プラグイン「Two-factor」でメール認証の設定後、ログイン時に送信されるメール

件名:(ブログ名)のログイン確認コード

本文:ログインするために12345678を入力してください。

参考:プラグイン「Two-factor」でメール認証の設定後、ログイン時に送信されるメール

 

メールの本文に記載された8桁のログイン確認コードを「認証コード」に入力して「ログイン」をクリックしてください。

 

ワンタイムパスワードを利用して認証する

まず、ワンタイムパスワードを利用して認証するためには、スマホやタブレットが必要になります。

 

ワンタイムパスワードを利用して認証する方法は「WordPressにログイン後、スマホのアプリ「Google認証システム」に生成されるワンタイムパスワードをログイン後の認証画面に入力する」というものです。

 

Google認証システムには、「Google Authenticator(Googleオーセンティケーター)」や「Authy(オーシー)」があります。

 

なお、ワンタイムパスワードは6桁あり、30秒ごとに新しいワンタイムパスワードが生成されます。

 

Google認証システム「Google Authenticator」の使い方はこちらをご参照ください。

(これから記事を作成しますね)

 

設定方法

スマホやタブレットにインストールしたGoogle認証システム(この記事ではGoogle Authenticatorを使用)をWordPressサイトの情報を取り込む方法は

① QRコードをスキャンする方法

② 手動でセットアップキーを入力する方法

の2つがあります。

 

QRコードをスキャンする方法が簡単ですが、手動でセットアップキーを入力する方法も説明しますね。

 

QRコードをスキャンする方法

アプリ「Google Authenticator」を起動して「+」をクリックします。

 

「QRコードをスキャン」をクリックして、Two-Factor設定にあるQRコードをスキャンします。

 

すると、アプリ「Google Authenticator」に、登録したWordPressのワンタイムパスワードが表示されるようになります。

 

Google認証システム(Google AuthenticatorやAuthy)をインストールしたスマホやタブレットが破損したり紛失した場合、ワンタイムパスワードがわからなくなり、WordPressのサイトにログインできなくなってしまいます。

念のため、上記の画像のように、QRコードのスクリーンショットも撮影して保存しておくこともおすすめします。

 

表示されるワンタイムパスワードを、Two-Factor設定にある「認証コード」に入力して「送信する」をクリックします。

 

これで設定が完了です。

 

設定が完了したら、Two-factor設定にある「Time Based One-Time Password(TOTP)」にある「有効」「メイン」にチェックを入れます。

 

チェックを入れたら「プロフィールを更新」をクリックします。

 

最後に、動作確認のために、WordPressを一旦ログアウトします。

 

ログイン画面でログインすると、ワンタイムパスワードの入力画面が表示されます。

 

「認証コード」に、アプリ「Google Authenticator」に表示される6桁のパスワードを入力して「認証する」をクリックしてください。

 

手動でセットアップキーを入力する方法

アプリ「Google Authenticator」を起動して「+」をクリックして、「セットアップキーを入力」をクリックします。

 

次に、「アカウント」と「キー」に以下の情報を入力します。

アカウント情報の入力

アカウント:ワンタイムパスワードを利用したいWordPressのサイトがわかる名前・名称

キー:Two-Factor設定のQRコードの下にある英数字

参考:Google Authenticatorのアカウント情報で入力するキー

 

入力が完了したら「追加」をクリックします。

 

すると、アプリ「Google Authenticator」に登録したWordPressのワンタイムパスワードが表示されるようになります。

これで設定が完了です。

 

設定が完了したら、Two-factor設定にある「Time Based One-Time Password(TOTP)」にある「有効」「メイン」にチェックを入れ、「プロフィールを更新」をクリックしてください。

 

セキュリティーキーを利用して認証する

セキュリティーキー(FIDO U2F:FIDO Universal 2nd Factor(秘密鍵))を利用して認証する方法は「Google ChromeやFirefoxなどのブラウザでセキュリティーキーを発行してWordPressにログインする」というものです。

 

セキュリティキーの発行方法は、下記のGoogleアカウントヘルプをご参照ください。

 

>> 2段階認証プロセスにセキュリティキーを使用する

 

バックアップ検証コード(使い捨て)を利用して認証する

バックアップ検証コードを利用して認証する方法は、バックアップ検証コードを発行して、そのバックアップ検証コードをログイン後の認証画面に入力する」というものです。

 

なお、バックアップ検証コードは1回で10個発行されます。このバックアップ検証コードは1度ログインで利用すると使えなくなります。

 

設定方法

Two-factor設定の「バックアップ検証コード」にある「検証コードを生成をクリックします。

 

すると、バックアップ検証コードが10個表示します。

 

これらのバックアップ検証コードをメモするか、「ダウンロードコード」をクリックして、バックアップ検証コードが記載されているテキストファイルをダウンロードします。

 

 

設定が完了したら、Two-factor設定にある「バックアップ検証コード」にある「有効」「メイン」にチェックを入れ、「プロフィールを更新」をクリックしてください。

 

最後に、動作確認のために、WordPressを一旦ログアウトします。

 

ログイン画面でログインすると、バックアップの認証コードの入力画面が表示されます。

 

「認証コード」に、メモ(またはテキストファイル)に記載されているバックアップ認証コードの1つ(好きなもの)を入力して「認証する」をクリックしてください。

 

1度ログインで使用したバックアップ認証コードは、次のログインで使えなくなります。


参考:バックアップ認証コード10個のうち1個使用したあとのTwo-Factorの設定画面

 

まとめ

この記事では、WordPressのログイン画面に二要素認証の機能を追加できるプラグイン「Two-Factor」の設定方法を画像を使って解説しました。

 

プラグイン 「Two-Factor」の認証方式は「メール」「ワンタイムパスワード」「セキュリティキー」「認証キー(使い捨て)」の4種類から選択できます。

 

あなたの好きな認証方式を利用して、WordPressのセキュリティを高めてくださいね。

/* イメージマップ (クリッカブルマップ)用コード */