とうこ(@toko_ouchiworks)です。
この記事では、WordPress(ワードプレス)のログイン画面に二要素認証の機能を追加できるプラグイン「Wordfence Login Security」の設定方法を画像を使ってわかりやすく解説します。
WordPressに二要素認証の機能を追加することで、ユーザー名とパスワードのあとに別の方法で本人確認をすることができるので、ユーザー名やパスワードを不正入手した第三者によるログインや、なりすましなどによる被害に備えることができます。
この記事を読んで、WordPressのログイン画面に二要素認証の機能を追加して、あなたのサイトを守ってくださいね。
この記事を読んでできるようになること
WordPrsssのログイン画面でログインすると、ワンタイムパスワードを要求されるようになる。
もしワンタイムパスワードがわからなくなっても、ワンタイムパスワードの代わりに入力する「リカバリーコード」が備わっている。
プラグイン「Wordfence Login Security」とは?
プラグイン「Wordfence Login Security」は、WordPressのログイン画面に二要素認証を機能を追加することができるプラグインです。
このプラグインとは別に「Wordfence Security(ワードフェンス セキュリティ)」という人気の高いセキュリティ対策プラグインがありますが、プラグイン「Wordfence Login Security」は「Wordfence Security」のログインのセキュリティだけを抜き出したものです。
「Wordfence Login Security」を有効化して二要素認証の機能を追加すると、WordPressにログインしたあとに、ワンタイムパスワードを要求されるようになります。
なお、もしワンタイムパスワードがわからなくなっても、ワンタイムパスワードの代わりに入力することができる「リカバリーコード」が備わっています。
プラグイン「Wordfence Login Security」をインストールする方法
WordPressのダッシュボードメニューにある「プラグイン」→「新規追加」をクリックします。
キーワード検索窓に「Wordfence Login Security」と入力します。
「Wordfence Login Security」を見つけたら「今すぐインストール」をクリックします。
インストールが完了したら「有効化」をクリックし、プラグインを有効化します。
プラグイン「Wordfence Login Security」の使い方
プラグイン「Wordfence Login Security」のログイン画面認証方法は
① ワンタイムパスワードを利用して認証する
② リカバリーコード(使い捨て)を利用して認証する
の2つがあります。
基本的にワンタイムパスワードを利用して認証します。しかし、何らかの事情でワンタイムパスワードがわからなくなった場合に、リカバリーコードを利用して認証することができます。
まず、WordPressのダッシュボードメニューにある「設定」の下にある「Login Seculity」をクリックしまてください。
ワンタイムパスワードを利用して認証する
まず、ワンタイムパスワードを利用して認証するためには、スマホやタブレットが必要になります。
ワンタイムパスワードを利用して認証する方法は「WordPressにログイン後、スマホのアプリ「Google認証システム」に生成されるワンタイムパスワードをログイン後の認証画面に入力する」というものです。
Google認証システムには、「Google Authenticator(Googleオーセンティケーター)」や「Authy(オーシー)」があります。
なお、ワンタイムパスワードは6桁あり、30秒ごとに新しいワンタイムパスワードが生成されます。
Google認証システム「Google Authenticator」の使い方はこちらをご参照ください。
(これから記事を作成しますね)
使い方
スマホやタブレットにインストールしたGoogle認証システム(この記事ではGoogle Authenticatorを使用)をWordPressサイトの情報を取り込む方法は
① QRコードをスキャンする方法
② 手動でセットアップキーを入力する方法
の2つがあります。
QRコードをスキャンする方法が簡単ですが、手動でセットアップキーを入力する方法も説明しますね。
QRコードをスキャンする方法
アプリ「Google Authenticator」を起動して「+」をクリックします。
「QRコードをスキャン」をクリックして、「Two-Factor-Authenticaton」の「1. Scan Code or Enter Key」にあるQRコードをスキャンします。
すると、アプリ「Google Authenticator」に、登録したWordPressのワンタイムパスワードが表示されるようになります。
Google認証システム(Google AuthenticatorやAuthyなど)をインストールしたスマホやタブレットが破損したり紛失した場合、ワンタイムパスワードがわからなくなり、WordPressのサイトにログインできなくなってしまいます。
念のため、上記の画像のように、QRコードのスクリーンショットを撮影して保存しておくこともおすすめします。
次に、アプリ「Google Authenticator」に表示されるワンタイムパスワードを「123456」と表示されている枠内に入力して「ACTIVATE」をクリックします。
すると、「リカバリーコード」が記載されたテキストファイルをダウンロードするかどうか尋ねられます。
「リカバリーコード」とは、Google認証システム(Google AuthenticatorやAuthyなど)をインストールしたスマホやタブレットが何らかの理由で使えなくなったとき、リカバリーコードをログイン後の認証画面に入力する時に使うコードです。
リカバリーコードは万が一の場合に備えて「DOWNLORD」をクリックして保管しておくことをおすすめします。必要のない方は「SKIP」をクリックしてください。
これで設定が完了です。
最後に、動作確認のために、WordPressを一旦ログアウトします。
ログイン画面でログインすると、ワンタイムパスワードの入力画面が表示されます。
「2FA Code」に、アプリ「Google Authenticator」に表示される6桁のワンタイムパスワードを入力して「Log in」をクリックしてください。
手動でセットアップキーを入力する方法
アプリ「Google Authenticator」を起動して「+」をクリックして、「セットアップキーを入力」をクリックします。
次に、「アカウント」と「キー」に以下の情報を入力します。
アカウント情報の入力
アカウント:ワンタイムパスワードを利用したいWordPressのサイトがわかる名前・名称
キー:「1. Scan Code or Enter Key」のQRコードの下にある英数字
参考:Google Authenticatorのアカウント情報で入力するキー
入力が完了したら「追加」をクリックします。
すると、アプリ「Google Authenticator」に登録したWordPressのワンタイムパスワードが表示されるようになります。
次に、アプリ「Google Authenticator」に表示されるワンタイムパスワードを「123456」と表示されている枠内に入力して「ACTIVATE」をクリックします。
すると、「リカバリーコード」が記載されたテキストファイルをダウンロードするかどうか尋ねられます。
リカバリーコードは万が一の場合に備えて「DOWNLORD」をクリックして保管しておくことをおすすめします。必要のない方は「SKIP」をクリックしてください。
これで設定が完了です。
リカバリーコード(使い捨て)を利用して認証する
リカバリーコード(回復コード)は、ワンタイムパスワードがわからなくなった時にワンタイムパスワードの代わりに入力するコードです。
なお、リカバリーコードは、1コードに16個の英数字と半角スペースが使われており、1回で5個発行されます。このリカバリーコードはそれぞれ1回だけ使用可能で、1度ログインで利用すると使えなくなります。
使い方
ログイン画面でログインすると、ワンタイムパスワードの入力画面が表示されます。
「2FA Code」に、メモ(またはテキストファイル)に記載されているリカバリーコードの1つ(好きなもの)を入力して「Log in」をクリックしてください。
1度ログインで使用したリカバリーコードは、次のログインで使えなくなります。
参考:リカバリーコード5個のうち1個使用したあとの設定画面
まとめ
この記事では、WordPressのログイン画面に二要素認証の機能を追加できるプラグイン「Wordfence Login Security」の設定方法を画像を使って解説しました。
プラグイン「Wordfence Login Security」の認証方式は「ワンタイムパスワード」で、万が一ワンタイムパスワードがわからなくなってしまった時のために「リカバリーキー」が備わっています。
WordPressのログイン画面に二要素認証の機能を追加して、WordPressのセキュリティを高めてくださいね。