Two-Factorは、WordPressのログイン画面に「2段階認証」の機能を追加できるプラグインです。
WordPress管理画面に対して、もう一回の認証を追加できます。
2段階認証の方式は「メール」「ワンタイムパスワード」「セキュリティキー」を利用して認証する方式が利用できます。
このプラグインはWordPress管理画面に対しての不正なログインを防ぎたい場合に活用でき、ログイン認証のセキュリティを強化できます。
目次
はじめに
このプラグインが優れていること
- WordPress管理画面のログイン認証に「2段階認証」の機能を追加できる。
- WordPress管理画面のセキュリティ対策を強化したい場合に役立つ。
- 複数の認証方式に対応(メール、ワンタイムパスワード、セキュリティキー)
- 信頼性が確かなプラグインです。複数の開発者で開発・検証されています。
- プラグインが日本語化されているのでわかりやすい。
2段階認証とは?
2段階認証とは、不正なログインを防ぐ目的で、ログイン認証を2段階で行う認証方式のことです。
例えば、初期状態のWordPressでは、管理画面にログインする際は、管理者ユーザーの「ID・パスワード」を入力して認証します。これは1段階の認証ですね。
2段階認証の場合は、その状態にもう1段階の認証を追加して、秘密のパスワードを入力する認証をもう1段階増やします。
認証が2段階あるので、セキュリティを更に高め、不正なログインを防ぐのに効果があります。
信頼性
プラグインが定期的にアップデートされており、安定的に保守が行われています。
プラグインの保守は適切に行われているようです。
確認日:2023.04.27
確認できた内容
- 定期的なアップデートの実績
- サポートフォーラムの評判
- プラグインの評価
- プラグインの利用者数
インストール方法
WordPressの管理画面から検索してインストールして下さい。
もしくは「wordpress.org」からダウンロードし、アップロードしてインストールして下さい。
- WordPress管理画面 > プラグイン > 新規追加 >「Two-Factor」で検索
- 「wordpress.org」からダウンロードする
2要素認証を有効化します。時間ベースの1回のみ使用できるパスワード (OTP、Google Authenticator) または Universal 2nd Factor (FIDO U2F、YubiKey)、メールなどが利用可能です。
プラグインの特徴
このプラグインはWordPress管理画面に対して、もう1回(1段階)の認証を追加できます。
2段階認証の方式は「メール」「ワンタイムパスワード」「セキュリティキー」を利用して認証する方式が利用できます。
利用できる「2段階認証」の種類
- メールを利用して認証コードを認証する方式
- ワンタイムパスワードを利用して認証する方式(Google認証システム)
- セキュリティキーを利用して認証する方式(FIDO Universal 2nd Factor)
認証方式の指定
このプラグインの設定画面は「プロフィール」の場所にあります。
プロフィール画面で認証方式を指定します。
認証方式を指定すると、2段階認証の機能が有効化されます。
管理画面の場所
WordPress管理画面 > ユーザー > あなたのプロフィール
プラグインの設定画面
認証方式を指定して設定を保存します。
【方式1】メールを利用して認証する
メールを利用して認証する方式は、設定が一番簡単なのでお勧めです。
WordPressのユーザーアカウントに登録したメールアドレス宛に「認証コード」が記載されたメールが送信されます。そして、その「認証コード」を2段階認証画面に入力して認証します。
プロフィール設定画面
送信されるメールの見本
下記のようなメールがWordPressに登録したユーザーアカウントのメールアドレス宛に送信されます。本文に記載されている数字が認証コードです。
| 件名 | ○○○ブログの認証コード |
|---|---|
| 本文 | ログインするために 12345678 を入力して下さい。 |
2段階認証画面
通常の「ID・パスワード」を入力する認証画面の次に、2段階目の認証画面が表示されます。
メールに記載された「認証コード」を入力して認証します。
【方式2】ワンタイムパスワードを利用して認証する
ワンタイムパスワードを利用して認証する方式は、スマホアプリの「Google認証システム」を利用するので、初めての方は難しく感じるかもしれません。
そして、スマートフォンまたはタブレット端末が必要になります。事前にお手元にご用意下さい。
WP管理画面にログインする際は、認証アプリが生成したワンタイムパスワードをその都度利用して認証します。
ワンタイムパスワードとは?
ワンタイムパスワードとは、一定時間だけ利用できる一時的なパスワードのことです。
一定時間を過ぎるとパスワードが無効になります。
パスワード流出に注意する
この方式はアプリを利用してワンタイムパスワードを生成します。一定時間だけ利用できるパスワードですが、パスワードが盗まれないように注意する必要があります。
例えば、複数人が共有して利用している端末などにアプリを設定して運用すると、ワンタイムパスワードが他人に見られる可能性があります。
このワンタイムパスワードを生成するアプリをインストールする端末はサイト管理者が厳重に管理する必要があります。
このアプリの存在がセキュリティリスクにならないように注意して運用しましょう。
設定の流れ
- 「Google認証システム」のアプリを端末にインストールする。
- 「QRコード」を端末でスキャンする。
- アプリに表示される「認証コード」をプラグイン側に入力して保存する。
- プラグイン側に「秘密鍵が設定、登録されました。」と表示されれば正常に完了です。
- アプリの「ワンタイムパスワード」が利用可能になります。
- WP管理画面のログイン認証で「ワンタイムパスワード」を入力して認証します。
1. Google認証システムのインストール
まず最初に「Google認証システム(Google Authenticator)」のアプリを端末にインストールします。iOS・Androidに対応したスマートフォン・タブレット端末が必要になります。
| iPhone iPad |
「App Store」の検索から「Google Authenticator」または 「Google認証システム」のキーワードでiOSアプリを探して端末にインストールして下さい。 |
|---|---|
| Android | 「Google Play」の検索から「Google Authenticator」または 「Google認証システム」のキーワードでAndroidアプリを探して端末にインストールして下さい。 |
2. QRコードをスキャンする
アプリを端末にインストールした後に、プラグインの管理画面に表示されている「QRコード」をスキャンします。そうすると「Google認証システム」に設定が反映されます。
Google認証システム
プラグインの管理画面
3. 認証コードをプラグイン側に入力する
アプリに表示される「認証コード」の数字をプラグイン側に入力して保存します。
ちなみに、表示される認証コードの有効期限は数秒間しかありません。
数秒後に無効化されるので素早く認証コードを入力する必要があります。
4. 初期設定完了
プラグイン側に「秘密鍵が設定、登録されました。」と表示されれば正常に完了です。
これでプラグインとアプリの紐付けが完了しました。
最後に、プラグイン側の「有効」「メイン」の選択項目にチェックを入れて設定を保存して下さい。
初期設定は以上です。
5. ワンタイムパスワードが利用できる
Google認証システムの「ワンタイムパスワード」が利用可能になりました。
これで2段階認証が有効化されています。通常の「ID・パスワード」を入力する認証画面の次に、2段階目の認証画面が表示されます。
認証コードの入力が求められたら「ワンタイムパスワード」を入力して認証して下さい。
ログイン認証画面
【方式3】セキュリティキーを利用して認証する
セキュリティキー(FIDO Universal 2nd Factor「U2F」)を利用して認証する方式は、専用の機器を購入する必要があります。そして、設定がやや複雑です。この記事では説明を省略しています。
詳しい情報を知りたい方は、下記のGoogleの公式情報をご覧下さい。
参考記事
まとめ
Two-Factorは、WordPressのログイン画面に「2段階認証」の機能を追加できるプラグインです。
このプラグインはWordPress管理画面に対しての不正なログインを防ぎたい場合に活用でき、ログイン認証のセキュリティを強化できます。セキュリティ対策として非常に役立つので活用しましょう。
