WordPress サイトで 2 要素認証を有効にする方法

公開: 2023-05-24

ログイン + パスワード。 これら 2 つの要素を覚えていれば、WordPress 管理インターフェイスへの接続は非常に簡単です。

あなたのサイトにアクセスしようとする悪意のある人物やロボットの観点から見ると、これは非常に簡単です。

彼らがあなたのログイン名とパスワードを見つけたら、あなたの許可なしに彼らは船の船長になります

犬がジェットスキーを運転します。
それは彼らにとっては楽しいでしょうが、あなたにとってはなおさらです。

これは災害のシナリオですが、残念ながら、他の人だけに起こるわけではありません。 自分自身を守るために、 WordPress で 2 要素認証を有効にすることをお勧めします。

この保護方法にまだ慣れていない場合、または設定したい場合は、この記事ですべてを説明します。

これを読むと、2 要素認証を使用する理由と、 2 つの異なる方法 (どちらもプラグインを使用) を使用して WordPress インストールでそれを有効にする方法がわかります。

概要

  1. 二要素認証とは何ですか?
    1. WordPress で 2 要素認証を有効にする必要があるのはなぜですか?
      1. WordPressで二重認証を有効にする方法
        1. 結論

          最高の WordPress プロジェクトには最高のホストが必要です。

          WPMarmite は、優れたパフォーマンスと優れたサポートを備えた Bluehost を推奨します。 素晴らしいスタートに必要なものがすべて揃っています。

          Bluehostを試してみる
          CTA Bluehost WPMarmite

          二要素認証とは何ですか?

          二要素認証はどのように機能しますか?

          2 要素認証は、ユーザー アカウントを保護する方法です。 WordPress では、パスワード認証に追加の保護層を追加することで、管理インターフェイス (バックオフィス) へのアクセスを保護できます。

          仕組みは次のとおりです。

          1. まず、管理ログイン ページでユーザー名とパスワードを入力します。 これは、WordPress サイトにアクセスするときにいつも行うことです。
          2. 次に、所有しているデバイスまたはサービスを使用して、管理者にアクセスできるようにするために、もう一度本人確認を行う必要があります。 これは、たとえば、コードを入力して接続試行を検証するスマートフォンです。

          これが二重認証と呼ばれる理由です。WordPress に接続するには、自分自身を 2 回識別する必要があります。

          男は二本の指を立てます。
          そうです、2回です。

          この方法の大きな利点は、誰かがあなたのパスワードをハッキングしたとしても、それだけではアカウントにアクセスできないことです。
           悪意のある人物やボットが他にログインできるもの (モバイル デバイスなど) を持っていない場合、ログインすることはできません。

          また、これはおそらく日常生活ですでに使用しているサービスです。 Google、Facebook、PayPal など、多くの有名なサイトで使用されています

          これは銀行にも当てはまります。 支払い (特に高額の場合) を検証するには、ログインする必要がある銀行アプリケーションで検証するように求められることがよくあります。

          2 要素認証を指すためにいくつかの名前が使用されます。 二要素識別、二重認証、または 2FA とも言えます

          2 番目の認証形式にはどのようなオプションがありますか?

          続行する前に、2 番目の識別ステップで提供される可能性のある識別方法を簡単に見てみましょう。

          この 2 番目の要素には、次のようないくつかの形式があります。

          • テキストまたは電子メールで送信されるセキュリティ コード
          • 一定期間のみ有効なワンタイムセキュリティコードを生成する認証アプリ(Google Authenticatorなど)
          • USB トークン。コンピュータの USB ポートに挿入されます。
          • プッシュ通知
          • 指紋または網膜スキャン

          WordPress で 2 要素認証を有効にする必要があるのはなぜですか?

          二重認証ではログイン プロセスに余分な手順が追加されますが、それでも大きな利点が 1 つあります。それは、管理インターフェイスへのアクセスがより安全になるということです

          この方法を使用すると、次のようになります。

          • ブルート フォース攻撃を制限します。 ブルート フォース攻撃が発生すると、ボットは WordPress ログイン ページにアクセスし、サイトを制御するために、さまざまな組み合わせをテストしてサイトの管理者アカウントのユーザー名とパスワードを特定しようとします。 成功した場合、二重認証により WordPress 管理者にアクセスできなくなります。
          • 管理者アカウントのセキュリティを強化します。 123456 や love のような弱いパスワードを使用した場合でも、2 番目の認証要素を使用することで追加の保護手段が得られます。
          • ハッキングのリスクを軽減し、一部の機密データ (個人情報、または WooCommerce ストアで販売している場合は顧客の銀行データ) をより適切に保護できます。

          二要素認証の価値はより明確になっていますか? さて、本題に入りましょう。 読み続けて、数分で WordPress で二重認証を設定する方法を見つけてください。

          男が指にキスをする。

          WordPressで二重認証を有効にする方法

          まず、サイトをバックアップすることをお勧めします。 問題が発生した場合でも、簡単に方向転換して復元することができます。 これを行うには、たとえば、プラグイン UpdraftPlus をアクティブにするか、 WP Umbrella (アフィリエイト リンク) や ManageWP などのメンテナンス ツールのバックアップ モジュールを使用します

          どのような選択肢がありますか?

          WordPress で 2 要素認証を有効にする最も簡単かつ迅速な方法は、プラグインを使用することです。 これには 2 つのオプションがあります。

          まず、 WordPress の二重認証専用のプラグインを選択できます。 公式 WordPress ディレクトリには数十のディレクトリがあります。

          最も人気のあるもの (5,000 を超えるアクティブなインストール) の中には、次のものがあります。

          • 2 要素( 50,000 以上のアクティブなインストール)
          • WP 2FA – WordPress の 2 要素認証( 40,000 以上のアクティブなインストール)
          • Google認証システム ( 30,000 以上のアクティブなインストール)
          • 2 要素認証( 20,000 以上のアクティブなインストール)
          • miniOrange の Google Authenticator ( 20,000 以上のアクティブなインストール)
          • Duo 二要素認証( 9,000 以上のアクティブなインストール)

          もう 1 つのオプションは、SecuPress、iThemes Security、Wordfence Security などの汎用セキュリティ プラグインによって提供される二重認証機能を利用することです。

          それらを詳細に実装する方法を見てみましょう。

          WP 2FA プラグインを使用して WordPress で二重認証を有効にする方法

          WordPress で二重認証専用のプラグインを使用したい場合、次のような理由から、WP 2FA プラグインは信頼性が高く効果的なオプションです。

          • Two-Factor に次いで最も人気のあるプラグインです。 また、Two-Factor とは異なり、 WP 2FA ではすべてのユーザーに対して 2 要素認証を設定できます(Two-Factor では、各ユーザーが自分で設定する必要があります)。
          • 最高の評価のひとつです。
          • 頻繁に更新されます。
          • 使い方も学習も簡単です。
          • 2 番目の認証には、電子メール、テキスト、認証アプリケーション、リカバリ コードなど、いくつかの方法が提供されています。
          • これは、WordPress セキュリティを専門とする会社によって開発および保守されています。WP White Security は、優れた WP Activity Log プラグインも提供しています。
          • ユーザーは、管理者にログインせずに 2 要素認証を設定できます。 これはフロントエンドから実行できるため、オンライン ストア (WP 2FA は WooCommerce と統合されています)、メンバー エリアなどの顧客にとって非常に便利です。

          トランジションを使用せずに、いくつかの簡単な手順でセットアップする方法を学びましょう。

          WP 2FA – WordPress バナーの 2 要素認証

          ステップ 1: WP 2FA プラグインをインストールしてアクティブ化する

          まず、WordPress 管理インターフェイスにプラグインをインストールして有効化します。 これを行うには、 [プラグイン] > [新規追加]メニューに移動します。

          WordPress 用の 2 要素認証プラグインである WP 2FA をインストールします。

          ステップ 2: ユーザーの認証方法を選択する

          プラグインがアクティブ化されると、設定ウィザードが画面上で自動的に起動します。 青い「始めましょう」ボタンをクリックして始めましょう。

          WP 2FA プラグインには、開始に役立つ構成ウィザードが用意されています。

          次に、ユーザーの認証方法を選択するように求められます。 2 番目の認証要素には 2 つのオプションがあります。

          • Google Authenticator や Authy などのアプリケーションの使用
          • 電子メールでコードを送信します。 この場合、WP 2FA では、WordPress から送信される電子メールの到達性を向上させるために、WP Mail SMTP プラグインを有効にすることをお勧めします。

          これら 2 つのオプションをユーザーに提供する場合は、両方のボックスをオンのままにしておきます。

          それ以外の場合、いずれかの認証方法を提供したくない場合は、選択したボックスのチェックを外します。 「セットアップを続行」をクリックして構成を続行します。

          WP 2FA プラグインは、二重認証のための 2 つの方法を提供します。

          次のステップでは、以前の認証方法 (アプリまたはメールによる) が機能しない場合に備えて、 1 回限り使用できるバックアップ コードを送信することも選択できます

          このオプションを選択するには、「バックアップ コード」ボックスにチェックを入れたままにし、「セットアップを続行」をクリックします。

          WP 2FA は、ユーザーの二重認証が失敗した場合に備えて、使い捨てのバックアップ コードを提供します。

          ステップ 3: WordPress で二重認証を使用するユーザー ロールを定義する

          3 番目のステップでは、WP 2FA は、WordPress サイトで二重認証を使用するユーザーを選択するよう求めます。 次の 3 つのオプションがあります。

          • すべてのユーザー: この場合、ユーザー ロール (管理者、作成者、編集者、寄稿者、購読者) に関係なく、全員がログインするために 2 回認証する必要があります。
          • 特定のユーザーおよび/または定義されたロール(「特定のユーザーおよびロールのみ」)。 ここでは、2 要素認証の使用を特定のユーザーとロールに制限できます。
          • どのユーザーにも強制しないでください。 この場合、各ユーザーはそれをアクティブにするかどうかを自由に決めることができます。

          「セットアップを続行」をクリックして次のステップに進みます。

          WP 2FA では、二重認証が必要なユーザーを選択できます。

          ステップ 4: 猶予期間を構成する

          すべてまたは一部のユーザーに 2 要素認証を強制することを選択した場合は、一定の猶予期間内に 2 要素認証を構成するオプションをユーザーに与えることができます。

          WP 2FA では、次のいずれかを行うことができます。

          • ユーザーに 2 要素認証をすぐに設定するよう強制します(「ユーザーはすぐに 2FA を設定する必要があります」)
          • 2FA を構成するための猶予期間を定義します(「ユーザーに 2FA を構成するための猶予期間を与える」)。これは日または時間単位で設定できます。

          構成遅延を設定する場合は、遅延中にユーザーがアクションを実行しなかった場合に何が起こるかを選択する必要があります。

          • WordPress でデュアル サインインを設定するまで、ダッシュボードまたはユーザー ページにアクセスできなくなります(「ダッシュボード/ユーザー ページにアクセスさせないでください」)
          • または、ユーザーのアカウントはブロックされます(「ユーザーをブロックする」)。 管理者のみがブロックを解除できます。

          「すべて完了」をクリックして終了します。

          WP 2FA を使用すると、ユーザーに 2FA を構成するための猶予期間を与えることができます。

          ステップ 5: ユーザー アカウントの WordPress でのデュアル ログイン方法を選択する

          最後のステップは、ユーザー アカウントの二重認証を設定することです。 これを行うには、「今すぐ 2FA を構成する」ボタンをクリックします。

          WP 2FA 構成ウィザードを終了します。

          画面上で強調表示されたウィンドウが開き、使用する認証方法を選択するよう求められます。

          • アプリによる認証(「2FAアプリによるワンタイムコード」)。 今回はこの方法を選択します。
          • メールによる認証(「メールによるワンタイムコード」)。
          2FA アプリのコードを使用して認証するか、電子メールに送信されたコードを使用して認証するかを選択できます。

          ステップ 6: 2 要素認証アプリで認証コードを生成する

          アプリケーション経由で認証するには、アプリケーションを選択する必要があります。 WP 2FA は次のアプリケーションと互換性があります。

          • Google認証システム
          • 認証済み
          • Microsoft認証システム
          • デュオ
          • ラストパス
          • 無料OTP
          • オクタ

          このテストでは、おそらく最も有名な Google Authenticator を使用します

          このアプリケーションをスマートフォンにダウンロードしてください。 それを開いて、管理インターフェイス上の WP 2FA プラグインによって提供される QR コードをスキャンします。 完了したら、「準備ができました」ボタンをクリックします。

          WP 2FA には、認証アプリをセットアップするためのスマート コードが含まれています。

          次に、Google Authenticator アプリケーションによって生成されたコードを入力し、対応するボタン (「検証して保存」) をクリックして検証することを忘れないでください。

          WP 2FA セットアップを完了するには、コードを検証する必要があります。

          ステップ 7: WordPress に接続する

          すべてが正しく動作していることを確認するには、WordPress 管理インターフェイスからログアウトします。

          管理者ログイン ページで、通常どおりユーザー名とパスワードを入力します。 すべて問題がなければ、使用するアプリケーションによって生成されたワンタイム コードの入力を求められます

          2 要素認証で保護された WordPress サイトのログイン ページ。

          Google Authenticator の場合、これは 30 秒ごとに再生成される 6 桁のコードです。

          これで、サイトの安全性がさらに高まりました。 おめでとう!

          [WP 2FA] > [設定] > [電子メールとテンプレート] メニューから、認証コードを送信する電子メールのテキストをカスタマイズすることもできます (プラグイン設定でこの方法を選択した場合)。 最後に、認証コードを入力する必要があるときにログイン ページに表示されるテキストを変更することもできます。

          WPMarmiteの購読者に参加しましょう

          WPMarmite の最新の投稿 (および限定リソース) を入手してください。

          今すぐ購読する
          WPMarmite英語ニュースレター

          一般的なセキュリティプラグインを使用して二要素認証を有効にする方法

          WordPress で 2 要素認証を自分で設定するプロセスを実行したことがある場合は、その手順が比較的簡単であることに気付いたかもしれません。

          一方で、実装には少し時間がかかると感じたかもしれません。 WP 2FA プラグインには複数の構成オプションがあるため、作業が少し遅れる場合があります。

          設定のオプションが少なくても、もう少し速くしたい場合は、別の方法があります。

          これは、汎用セキュリティ プラグインの使用です。 ほとんどの場合、WordPress サイトで二重認証を有効にするオプションが提供されます。

          WPMarmite は、最も有名な 3 つのセキュリティ プラグインに関する詳細なチュートリアルを用意しており、二重認証の構成方法がわかります。 これらは次のプラグインです。

          • Wordfence Security (無料版に含まれています)。 Wordfence が提供するすべての機能を利用したくない場合は、二重認証を含む、より少ないオプションを備えた軽量のプラグイン (Wordfence Login Security) も提供されることに注意してください。
          • iThemesのセキュリティ (無料版に含まれています)
          • セキュプレス 2 要素認証 (2FA) も提供しますが、Pro バージョンのみです。 SecuPress は、この点に関して興味深い方法であるPasswordlessを提供しています。 ログインするために、ユーザーはパスワードを入力する必要はありません。 WordPress ログイン ページにメール アドレスを入力するだけで、1 回だけログインできる固有のリンクが記載されたメールが届きます。

          汎用セキュリティ プラグインの使用を選択した場合は、WP 2FA やその競合他社のような専用の 2 要素認証プラグインを同時に有効にしないでください。 これは逆効果であり、非互換性のリスクにさらされることになります。

          2 要素認証を有効にして #WordPress サイトのセキュリティを強化したいですか? 私たちのガイドをチェックしてください!

          クリックしてツイートする

          結論

          WordPress の二重認証は、サイトのセキュリティを強化する効果的な方法です。 たとえば、ブルート フォース攻撃からサイトをより適切に保護できます。

          これらの行を通して、WordPress インストールでアクティブ化する 2 つの主な方法を発見しました。

          1. WP 2FA のような専用プラグインを使用します
          2. Wordfence、iThemes Security、SecuPress などの汎用セキュリティ プラグインを使用します

          ただし、サイトを保護するために 2 要素認証だけに依存しないでください。 たとえば、Akismet などのスパム対策プラグインだけでなく、強力なパスワードの使用を検討してください。

          サイトにデュアル サインインを実装していますか? もしそうなら、どのようなフィードバックを私たちと共有できますか? コメントを投稿して、WPMarmite 読者に意見を伝えてください。