Two-Factorは、WordPressのログイン画面に「2要素認証」の機能を追加できるプラグインです。
WordPressのログイン画面に対して、さらに1つの要素の認証を追加できます。
認証方式は「メール」「ワンタイムパスワード」「セキュリティキー」を利用して認証する方式が利用できます。
WordPress管理画面に対しての不正なログインを防ぎたい場合に活用でき、ログイン認証のセキュリティを強化できます。
はじめに
このプラグインが優れていること
- WordPress管理画面のログイン認証に「2要素認証」の機能を追加できる。
- WordPress管理画面のセキュリティ対策を強化したい場合に役立つ。
- 複数の認証方式に対応(メール、ワンタイムパスワード、セキュリティキー)
- 信頼性が確かなプラグインです。複数の開発者で開発・検証されています。
- プラグインが日本語化されているのでわかりやすい。
2要素認証とは?
2要素認証(2FA)とは、利用者を認証する際に異なる2つの要素で認証する仕組みです。
ID・パスワードの知識要素に加えて、スマートフォン・ICカードなどの所有要素、指紋・顔などの生体要素を組み合わせて利用します。
2要素認証の利用例
例えば、WordPressの初期状態で、管理画面にログインする際は、管理者ユーザーの「ID・パスワード」を入力して認証します。これは1要素(知識要素)の認証です。
それに加え、スマホ認証アプリなどのワンタイムパスワードを入力する認証で、もう1要素(所有要素)増やします。
異なる2つの要素で認証するので、セキュリティの安全性を高め、不正ログインを防ぐ効果があります。
信頼性
プラグインが定期的にアップデートされており、安定的に保守が行われています。
プラグインの保守は適切に行われているようです。
確認日:2025.02.15
確認できた内容
- 定期的なアップデートの実績
- サポートフォーラムの評判
- プラグインの評価
- プラグインの利用者数
広告
インストール方法
WordPressの管理画面から検索してインストールして下さい。
もしくは「wordpress.org」からダウンロードし、アップロードしてインストールして下さい。
- WordPress管理画面 > プラグイン > 新規追加 >「Two-Factor」で検索
- 「wordpress.org」からダウンロードする
2要素認証を有効化します。時間ベースの1回のみ使用できるパスワード (OTP、Google Authenticator) または Universal 2nd Factor (FIDO U2F、YubiKey)、メールなどが利用可能です。
プラグインの特徴
このプラグインはWordPress管理画面に対して、もう1要素の認証を追加できます。
認証の方式は「メール」「ワンタイムパスワード」「セキュリティキー」を利用して認証する方式が利用できます。
利用できる認証方式
- メールを利用して認証コードを認証する方式(非推奨)
- ワンタイムパスワードを利用して認証する方式(Google認証システム)
- セキュリティキーを利用して認証する方式(FIDO Universal 2nd Factor)
認証方式の指定
このプラグインの設定画面は「プロフィール」の場所にあります。
プロフィール画面で認証方式を指定します。
認証方式を指定すると、2要素認証の機能が有効化されます。
管理画面の場所
WordPress管理画面 > ユーザー > あなたのプロフィール
プラグインの設定画面
認証方式を指定して設定を保存します。
広告
【方式1】メールを利用して認証する
メールを利用して認証する方法は、安全性は低いです。認証方式として「非推奨」です。
WordPressのユーザーアカウントに登録したメールアドレス宛に「認証コード」が記載されたメールが送信されます。そして、その「認証コード」を認証画面に入力して認証します。
プロフィール設定画面
送信されるメールの見本
下記のようなメールがWordPressに登録したユーザーアカウントのメールアドレス宛に送信されます。
本文に記載されている数字が認証コードです。
| 件名 | ○○○ブログの認証コード |
|---|---|
| 本文 | ログインするために 12345678 を入力して下さい。 |
認証画面
通常の「ID・パスワード」を入力する認証画面の次に、2つ目の認証画面が表示されます。
メールに記載された「認証コード」を入力して認証します。
【方式2】ワンタイムパスワードを利用して認証する
この方式の認証が安全なので、ワンタイムパスワードを利用した認証を推奨します。
スマホアプリのGoogle認証システム(Google Authenticator)を利用してワンタイムパスワードを発行します。
そして、スマートフォンまたはタブレット端末が必要になります。事前にお手元にご用意下さい。
WP管理画面にログインする際は、認証アプリが生成したワンタイムパスワードをその都度利用して認証します。
ワンタイムパスワードとは?
ワンタイムパスワードとは、一定時間だけ利用できる一時的なパスワードのことです。
一定時間を過ぎるとパスワードが無効になります。
パスワード流出に注意する
この方式はアプリを利用してワンタイムパスワードを生成します。一定時間だけ利用できるパスワードですが、パスワードが盗まれないように注意する必要があります。
例えば、複数人が共有して利用している端末などにアプリを設定して運用すると、ワンタイムパスワードが他人に見られる可能性があります。
このワンタイムパスワードを生成するアプリをインストールする端末はサイト管理者が厳重に管理する必要があります。
このアプリの存在がセキュリティリスクにならないように注意して運用しましょう。
設定の流れ
- 「Google認証システム」のアプリを端末にインストールする。
- 「QRコード」を端末でスキャンする。
- アプリに表示される「認証コード」をプラグイン側に入力して保存する。
- プラグイン側に「秘密鍵が設定、登録されました。」と表示されれば正常に完了です。
- アプリの「ワンタイムパスワード」が利用可能になります。
- WP管理画面のログイン認証で「ワンタイムパスワード」を入力して認証します。
1. Google認証システムのインストール
まず最初に「Google認証システム(Google Authenticator)」のアプリを端末にインストールします。
iOS・Androidに対応したスマートフォン・タブレット端末が必要になります。
| iPhone iPad |
「App Store」の検索から「Google Authenticator」または 「Google認証システム」のキーワードでiOSアプリを探して端末にインストールして下さい。 |
|---|---|
| Android | 「Google Play」の検索から「Google Authenticator」または 「Google認証システム」のキーワードでAndroidアプリを探して端末にインストールして下さい。 |
2. QRコードをスキャンする
アプリを端末にインストールした後に、プラグインの管理画面に表示されている「QRコード」をスキャンします。そうすると「Google認証システム」に設定が反映されます。
Google認証システム
プラグインの管理画面
3. 認証コードをプラグイン側に入力する
アプリに表示される「認証コード」の数字をプラグイン側に入力して保存します。
ちなみに、表示される認証コードの有効期限は数秒間しかありません。
数秒後に無効化されるので素早く認証コードを入力する必要があります。
4. 初期設定完了
プラグイン側に「秘密鍵が設定、登録されました。」と表示されれば正常に完了です。
これでプラグインとアプリの紐付けが完了しました。
最後に、プラグイン側の「有効」「メイン」の選択項目にチェックを入れて設定を保存して下さい。
初期設定は以上です。
5. ワンタイムパスワードが利用できる
Google認証システムの「ワンタイムパスワード」が利用可能になりました。
これで2要素認証が有効化されています。通常の「ID・パスワード」を入力する認証画面の次に、2つ目の認証画面が表示されます。
認証コードの入力が求められたら「ワンタイムパスワード」を入力して認証して下さい。
ログイン認証画面
広告
【方式3】セキュリティキーを利用して認証する
セキュリティキー(FIDO Universal 2nd Factor「U2F」)を利用して認証する方式は、専用の機器を購入する必要があります。そして、設定がやや複雑です。この記事では説明を省略しています。
詳しい情報を知りたい方は、下記のGoogleの公式情報をご覧下さい。
参考記事
まとめ
Two-Factorは、WordPressのログイン画面に「2要素認証」の機能を追加できるプラグインです。
WordPress管理画面に対しての不正なログインを防ぎたい場合に活用でき、ログイン認証のセキュリティを強化できます。
