WordPress不正ログインのセキュリティ対策|おすすめはTwo Factor Authentication

WordPress
  • WordPressの不正ログインのセキュリティ対策に二段階認証・二要素認証を使いたい
  • プラグインTwo Factor Authenticationの使い方を知りたい

そんな方におすすめの内容です。

不正ログインのセキュリティ対策

WordPressで不正ログインのセキュリティ対策で現状主流になっているのはスマホの二要素認証。

二要素認証とは

二要素認証というのは、ある要素を2つ組み合わせた認証ということ。
例えばパスワードだけよりも、ICカードや指紋を組み合わせた方が堅牢な認証システムになる。
そしてある要素というのは主に次の3つに分類される。

  • 知識:パスワード、秘密の答え
  • 所有:スマホ、ICカード
  • 生体:指紋、声紋

WordPressで通常用いられているパスワードによるログインは知識要素。
だから所有要素か生体要素を組み合わせれば二要素認証となる。
今回紹介するプラグインのTwo Factor Authenticationはスマホの所有要素認証を新たに導入できる。

二段階認証とは

二要素認証と混同しやすいんだけど別物。
極端な話が同じ要素(例えばパスワードと秘密の答え)を続けて認証すれば二段階認証になる。
一応、今回紹介するTwo Factor Authenticationでは二要素認証かつ二段階認証にはなっている。

インストールするスマホアプリ

二要素認証・二段階認証を使うためにスマホにアプリをインストールする必要がある。
有名企業製のアプリなので次の3つのうちどれを選んでも大丈夫なんだけど、僕はAuthyを使っている。

  • Google Authenticator
  • Microsoft Authenticator
  • Authy

Two Factor Authenticationをおすすめする2つの理由

ここからはTwo Factor Authenticationを説明していく。
WordPressに二要素認証・二段階認証を導入するプラグインはいくつもあるんだけどTwo Factor Authenticationをおすすめする。

更新頻度が高い

セキュリティ系のプラグインなので追従が早いのは重要。
二要素認証だけ検索してもいくつかヒットするんだけど、現時点(2021/05/07)で最新のWordPressバージョン(5.7.1)に対応しているプラグインの数で絞られる。

Two Factor AuthenticationはWordPress5.7.1に対応していたのが理由の1つめ。

二要素認証機能のみ

プラグインは単機能のものを最小限にした方がいい。
多機能を備えているプラグインは入れるときは楽なんだけど、重くなりがちだし依存関係の問題に苦しみがち。

Two Factor Authenticationは二要素認証のみに絞ったプラグイン。
これが理由の2つめ。

Two Factor Authenticationの使い方

ここからはTwo Factor Authenticationの使い方を解説していく。

Two Factor Authenticationのインストール

まずTwo Factor Authenticationをインストールする。
サイドメニューのプラグイン→新規追加を選択し、「two factor」で検索。
出てきたTwo Factor Authenticationをインストールして有効化する。

サイドメニューのTwo Factor Authを押してQRコードを表示させる。

先ほど二要素認証・二段階認証を使うためにスマホにインストールしたアプリでQRを読み込む。
スマホのアプリに6桁の数字が表示されたらOK。

Two Factor Authenticationの動作確認

設定完了せずにログアウトしてしまうとログインできなくなるので、必ず動作確認はしてほしい。
まずEnabledにチェックを入れて、変更を保存する。

次はTwo Factor Authの設定画面を開いたまま作業する。
万が一設定がうまくできていなかった場合に設定を戻すために絶対に必要なんだ。

ログインの確認には、シークレットウィンドウを開くか、別ブラウザを立ち上げる。
通常のIDとパスワードを入力すると二要素認証・二段階認証用の画面が表示されるので、先ほどQRコードを読み込んだアプリに表示される6桁の数字を入力してログインする。
無事ログインできれば動作確認は完了。
もし失敗したらTwo Factor Authの設定画面に戻り設定し直してほしい。

Two Factor Authenticationのバックアップ

最後にスマホを紛失したり壊してしまったときのためにバックアップを取っておく。
と言っても、先ほど表示させたQRコードを印刷して大切に保管しておくだけでいい。

何らかの理由でスマホが使えなくなった場合の対処も念のため説明しておくと。
別スマホに二要素認証・二段階認証用のアプリをインストール、保管していたQRコードを読み取る。
表示される6桁のコードでログインし、Two Factor Authenticationをリセット。
新たに発行されるQRコードでこの記事で解説した動作確認をしていけばいいんだ。

タイトルとURLをコピーしました