Two-Factor

Two-Factorは、WordPressのログイン認証に「二段階認証」の機能を拡張できるプラグインです。

WordPress管理画面に対して、もう一回(一段階)の認証を追加できます。二段階認証の方式は「メール」「ワンタイムパスワード」「セキュリティキー」を利用して認証する方式が利用できます。

このプラグインはWordPress管理画面に対しての不正なログインを防ぎたい場合に活用でき、ログイン認証のセキュリティを強化できます。

はじめに

このプラグインが優れている点

  • WordPress管理画面のセキュリティ対策を強化したい場合に役立つ。
  • WordPress管理画面のログイン認証に「二段階認証」の機能を拡張できる。
  • 複数の認証方式に対応(メール、ワンタイムパスワード、セキュリティキー)
  • 信頼性が確かなプラグインです。複数の開発者で開発・検証されています。
  • プラグインが日本語化されているのでわかりやすい。

二段階認証とは?

セキュリティ

二段階認証とは、不正なログインを防ぐ目的で、ログイン認証を二回(二段階)で行う認証方式のことです。

例えば、初期状態のWordPressでは、管理画面にログインする際は、管理者ユーザーの「ID・パスワード」を入力して認証します。これは一段階の認証ですね。

二段階認証の場合は、その状態にもう一段階の認証を追加して、秘密のパスワードを入力する認証をもう一段階増やします。

認証が二回(二段階)あるので、セキュリティを更に高め、不正なログインを防ぐのに効果があります。

プラグインの特徴

このプラグインはWordPress管理画面に対して、もう一回(一段階)の認証を追加できます。

二段階認証の方式は「メール」「ワンタイムパスワード」「セキュリティキー」を利用して認証する方式が利用できます。

利用できる「二段階認証」の種類

  1. メールを利用して認証コードを認証する方式
  2. ワンタイムパスワードを利用して認証する方式(Google認証システム)
  3. セキュリティキーを利用して認証する方式(FIDO Universal 2nd Factor)

認証方式の指定

このプラグインの設定画面は「プロフィール」の場所にあります。
プロフィール画面で認証方式を指定します。
認証方式を指定すると、二段階認証の機能が有効化されます。

管理画面の場所

WordPress管理画面 > ユーザー > あなたのプロフィール

プラグインの設定画面

認証方式を指定して設定を保存します。

認証方式の指定

【方式1】メールを利用して認証する

メールを利用して認証する方式は、設定が一番簡単なのでお勧めです。

WordPressのユーザーアカウントに登録したメールアドレス宛に「認証コード」が記載されたメールが送信されます。そして、その「認証コード」を二段階認証画面に入力して認証します。

プロフィール設定画面

プロフィール設定

送信されるメールの見本

下記のようなメールがWordPressに登録したユーザーアカウントのメールアドレス宛に送信されます。本文に記載されている数字が認証コードです。

件名 ○○○ブログの認証コード
本文 ログインするために 12345678 を入力して下さい。

二段階認証画面

通常の「ID・パスワード」を入力する認証画面の次に、二段階目の認証画面が表示されます。

メールに記載された「認証コード」を入力して認証します。

二段階認証

【方式2】ワンタイムパスワードを利用して認証する

ワンタイムパスワードを利用して認証する方式は、スマホアプリの「Google認証システム」を利用するので、初めての方は難しく感じるかもしれません。

そして、スマートフォンまたはタブレット端末が必要になります。事前にお手元にご用意下さい。

WP管理画面にログインする際は、認証アプリが生成したワンタイムパスワードをその都度利用して認証します。

ワンタイムパスワードとは?

ワンタイムパスワードとは、一定時間だけ利用できる一時的なパスワードのことです。
一定時間を過ぎるとパスワードが無効になります。

パスワード流出に注意する

注意

この方式はアプリを利用してワンタイムパスワードを生成します。一定時間だけ利用できるパスワードですが、パスワードが盗まれないように注意する必要があります。

例えば、複数人が共有して利用している端末などにアプリを設定して運用すると、ワンタイムパスワードが他人に見られる可能性があります。

このワンタイムパスワードを生成するアプリをインストールする端末はサイト管理者が厳重に管理する必要があります。

このアプリの存在がセキュリティリスクにならないように注意して運用しましょう。

設定の流れ

  1. 「Google認証システム」のアプリを端末にインストールする。
  2. 「QRコード」を端末でスキャンする。
  3. アプリに表示される「認証コード」をプラグイン側に入力して保存する。
  4. プラグイン側に「秘密鍵が設定、登録されました。」と表示されれば正常に完了です。
  5. アプリの「ワンタイムパスワード」が利用可能になります。
  6. WP管理画面のログイン認証で「ワンタイムパスワード」を入力して認証します。

1. Google認証システムのインストール

まず最初に「Google認証システム(Google Authenticator)」のアプリを端末にインストールします。iOS・Androidに対応したスマートフォン・タブレット端末が必要になります。

iPhone
iPad
「App Store」の検索から「Google Authenticator」または
「Google認証システム」のキーワードでiOSアプリを探して端末にインストールして下さい。
Android 「Google Play」の検索から「Google Authenticator」または
「Google認証システム」のキーワードでAndroidアプリを探して端末にインストールして下さい。

2. QRコードをスキャンする

アプリを端末にインストールした後に、プラグインの管理画面に表示されている「QRコード」をスキャンします。そうすると「Google認証システム」に設定が反映されます。

Google認証システム

Google認証システム

プラグインの管理画面

プラグインの管理画面

3. 認証コードをプラグイン側に入力する

アプリに表示される「認証コード」の数字をプラグイン側に入力して保存します。

ちなみに、表示される認証コードの有効期限は数秒間しかありません。
数秒後に無効化されるので素早く認証コードを入力する必要があります。

4. 初期設定完了

プラグイン側に「秘密鍵が設定、登録されました。」と表示されれば正常に完了です。
これでプラグインとアプリの紐付けが完了しました。

最後に、プラグイン側の「有効」「メイン」の選択項目にチェックを入れて設定を保存して下さい。

初期設定は以上です。

5. ワンタイムパスワードが利用できる

Google認証システムの「ワンタイムパスワード」が利用可能になりました。

これで二段階認証が有効化されています。通常の「ID・パスワード」を入力する認証画面の次に、二段階目の認証画面が表示されます。

認証コードの入力が求められたら「ワンタイムパスワード」を入力して認証して下さい。

ログイン認証画面

二段階認証

【方式3】セキュリティキーを利用して認証する

セキュリティキー(FIDO Universal 2nd Factor「U2F」)を利用して認証する方式は、専用の機器を購入する必要があります。そして、設定がやや複雑です。この記事では説明を省略しています。

詳しい情報を知りたい方は、下記のGoogleの公式情報をご覧下さい。

参考情報(別サイト)

2段階認証プロセスにセキュリティキーを使用する

まとめ

Two-Factorは、WordPressのログイン認証に「二段階認証」の機能を拡張できるプラグインです。

このプラグインはWordPress管理画面に対しての不正なログインを防ぎたい場合に活用でき、ログイン認証のセキュリティを強化できます。セキュリティ対策として非常に役立つので活用しましょう。