Two-Factor 2要素認証プラグイン 設定方法と使い方

ワードプレス(WordPress)の2要素認証プラグイン Two-Factorの設定方法と使い方を解説します。

Two-Factorで実現できること

Two-FactorはWordPressのログイン画面に2要素認証(2段階認証)を追加して、不正ログインを防ぐプラグインです。

2要素認証(2段階認証)とは

2要素認証はパスワード以外の要素を用いて本人であることを認証する仕組みです。
パスワードのみの1要素認証だと、パスワードの総当たり攻撃や盗み見に等により、外部に流出し、不正アクセスされる危険性があります。

スマホは利用者の所有物なので所有要素です。
通常のパスワードの1要素＋スマホの1要素で2要素認証と呼ばれています。
通常のパスワード入力後に、他の1要素の認証画面が表示されるので2段階認証とも言います。

スマホアプリを利用したワンタイムパスワードやメール認証、生体認証なども2要素認証に利用できます。

パスワードとは別の要素を組合わせることで、不正アクセスの阻止率を高める効果があります。

Two-Factorの主な機能

Two-Factor 無料版の主な機能は次の通りです。

これらの機能の詳細と設定方法は後述しています。

当記事では「Google Authenticator」のワンタイムパスワードとメールを使った設定方法と使い方を解説しています。

Two-Factorのインストール方法

Two-FactorをWordPressにインストールする方法を解説します。

WoredPressのダッシュボード(管理者画面)の新規プラグイン追加画面

1. WordPressのダッシュボード(管理者画面)の「プラグイン」をクリックします
2. 「新規プラグインを追加」をクリックします
3. 検索ボックスに”Two-Factor ”と入力すると下に検索結果が表示されます
4. ”Two-Factorの「今すぐインストール」ボタンをクリックします
   “Two-Factor”のインストール完了画面

↑Two-Factor のインストールが完了すると有効化ボタンが表示されるのでクリックします。

“Two-Factor”を有効化すると表示されるプラグイン画面

↑これでTwo-Factorのインストールと有効化は完了です。

Two-Factorの2要素認証の設定方法

Two-Factorの2段階認証設定は下記の流れになります。

1. Google Authenticatorをスマホにインストール
2. WordPress 管理画面のユーザーのプロフィール画面のQRコードを読み込んでGoogle Authenticatorと紐づける

以上の2ステップで完了します。

以降でそれぞれを詳しく解説します。

Google Authenticatorをスマホにインストール

“Play ストア”か”App Store”で「Google Authenticator」を検索

↑Andoroidスマホの場合は”Play ストア”、iPhoneの場合は”App Store”のアプリで「Google Authenticator」を検索します。

1. Googleと入力
2. google authenticatorをタップ

Google Authenticatorをインストール

↑Google Authenticatorのインストールをタップします。

Google Authenticatorを開く

↑インストール完了後に開くをタップします。

Wordfence SecurityのQRコードを読み込んでGoogle Authenticatorと紐づける

Google Authenticatorの初期画面

↑画面下の使ってみるをタップします。

Google Authenticatorのセットアップ画面

↑セットアップ画面が表示されるので「QRコードをスキャン」をタップすると、カメラが起動します。

Two-Factorの設定画面はダッシュボード(管理画面)のユーザーのプロフィールに表示される

Two-Factorの設定画面はダッシュボード(管理画面)のユーザー → プロフィールの中にあります。

ユーザーのプロファイル画面にある”Two-Factor 設定”

ユーザー → プロフィール画面にある”Two-Factor 設定”にQRコードが表示されているので、Time Based One-Time Password (TOTP)に✅を入れて有効にし、一番下にあるプロフィールを更新ボタンをクリックして設定を保存します。

その後、画面に表示されているQRコードを先ほど起動したスマホのカメラで読み込みます。

Google AuthenticatorのQRコードスキャナー

↑スマホのカメラをQRコードに向けると自動的にデータが読み込まれ、Google Authenticatorとの紐づけが完了します。

Two-Factorの2要素認証の使い方

2要素認証のワンタイムパスワードを使って、WordPressの管理者画面にログインする方法は下記の2ステップです。

1. WordPressの管理者画面にログインする
2. Google Authenticatorに表示されたワンタイムパスワードを入力する

それぞれを詳しく解説します。

WordPressの管理者画面にログインする

WordPressのログイン画面

↑ユーザー名またはメールアドレスとパスワードを入力してWordPressにログインします。

Google Authenticatorを起動して表示されたワンタイムパスワード

↑スマホにインストールしたGoogle Authenticatorを起動するとワンタイムパスワードが表示されるので、WordPressのログイン画面に入力します。

1. 6桁の数字がワンタイムパスワード
2. 30秒で画面右の●が全て欠けて無くなるとワンタイムパスワードが更新される

WordPressの2要素認証ログイン画面

認証コードの欄にワンタイムパスワードを入力してログインをクリックします。

以上が、Two-Factorプラグインの2段階認証機能を使ってWordPressにログインする方法です。

メール認証でログインする方法

ユーザーのプロファイル画面にある”Two-Factor 設定”

ユーザー → プロフィール画面にある”Two-Factor 設定”のメールに✅を入れて有効にし、一番下にあるプロフィールを更新ボタンをクリックして設定を保存します。

WordPressのログイン画面

↑ユーザー名またはメールアドレスとパスワードを入力してWordPressにログインします。

WordPressのログイン画面に表示された認証コード入力画面

↑ログインするとメールアドレスに確認コードが送信されました。と表示されるのでユーザーに紐づけているメールアドレスを確認します。

メールアドレスに届いた確認コード

WordPressのログイン画面に表示された認証コード入力画面

↑メールアドレスに書かれた確認コードをログイン画面に入力します。

以上がメール認証の手順です。

実際にTwo-Factorを使った感想とメリットデメリット

実際にTwo-Factorを使ってみた感じたメリットとデメリットです。

Two-Factor のメリット

設定がシンプルで、2段階認証の設定に必要な時間と苦労が少ないです。

他のセキュリティ機能は不要で、2段階認証のみを使いたい場合には最適なプラグインです。

Two-Factor のデメリット

2段階認証を簡単に追加できる反面、セキュリティ対策としては不十分です。
通常の使い方をする場合は、別途セキュリティ対策プラグインを導入する必要がある点がデメリットになります。

まとめ

Two-Factorは簡単な設定で気軽に2段階認証をWordPressのログイン画面に実装できるプラグインです。

なので、2段階認証だけが必要で、他のセキュリティ機能は不要な場合は、メリットが多いのですが、セキュリティ対策としては不十分です

2段階認証が機能の一部として含まれているセキュリティ対策プラグインも数多く存在します。
プラグイン数は少ないほうが管理の手間が省けるし、プラグイン間の競合も起き難いので、1つで済む多機能なセキュリティ対策プラグインを使ったほうがより安心です。

アクセスログを見やすく表示して、不正アクセスの有無を簡単に確認できたり、ログインURLを変更することで、パスワードと同じ効果を発揮することもできるので、多機能なセキュリティ対策プラグんのほうがおすすめです。