WordPress に 2 要素認証を追加する方法 (無料の方法)

公開: 2023-08-19


Facebook や Google などの人気サイトが、セキュリティを向上させるために 2 要素認証の追加を要求していることに気づいたことがありますか?

さて、これで WordPress ウェブサイトに 2 要素認証を追加できるようになりました。 これにより、WordPress サイトとそのすべての登録ユーザーに対して最大限のセキュリティが確保されます。

この記事では、プラグインと認証アプリを使用してWordPressに2要素認証を追加する方法を説明します。

How to Add Two-Factor Authentication in WordPress (Free Method)

WordPress に 2 要素認証を追加する理由

ハッカーが使用する最も一般的なトリックの 1 つは、ブルート フォース攻撃と呼ばれます。 これらの攻撃の 1 つでは、WordPress Web サイトにログインできるように、正しいユーザー名とパスワードを推測しようとする自動スクリプトが使用されます。

ブルート フォース攻撃が成功すると、ハッカーが Web サイトの管理領域にアクセスできるようになります。 マルウェアをインストールし、ユーザー情報を盗み、サイト上のすべてを削除する可能性があります。

WordPress Web サイトをパスワードの盗難から保護する最も簡単な方法の 1 つは、2 要素認証 (2FA) を追加することです。 この設定では、Web サイトにログインするために、パスワードと 2 番目のコード (アプリ、電子メール、またはテキスト メッセージから) の両方を入力する必要があります。

これにより、誰かがあなたのパスワードを盗んだとしても、アクセスするには携帯電話からセキュリティ コードを入力する必要があります。

認証アプリとは何ですか?

WordPress で 2 段階ログインを設定するには複数の方法があります。 ただし、最も安全で簡単な方法は、認証アプリを使用することです。

認証アプリは、保存されているアカウントの一時的なワンタイム パスワードを生成するスマートフォン アプリです。

基本的に、アプリとサーバーは秘密キーを使用して情報を暗号化し、保護の 2 番目の層として使用できるワンタイム コードを生成します。

無料で利用できるアプリがたくさんあります。

  • 最も人気のあるアプリは Google Authenticator ですが、これは最良の選択ではありません。 携帯電話を紛失した場合、事前にバックアップ コピーを作成しない限り、アカウントを回復する方法がないためです。
  • Authy は使いやすく無料のアプリであり、アカウントを暗号化された形式でクラウドに保存できるため、Authy の使用をお勧めします。 これにより、携帯電話を紛失した場合でも、マスター パスワードを入力するだけですべてのアカウントを復元できます。
  • LastPass や 1Password などの他のパスワード マネージャーには、それぞれ独自のバージョンの認証システムが付属しています。 キーを復元できるため、Google Authenticator よりも優れています。

このチュートリアルでは、Authy を使用します。 すべて同じように機能するため、必要に応じて別のアプリを使用してチュートリアルに従うことができます。

そうは言っても、WordPress に 2FA を追加する方法を見てみましょう。 以下のリンクをクリックするだけで、お好みの方法に移動できます。

では、WordPress のログイン画面に無料で簡単に 2 要素認証を追加する方法を見てみましょう。

方法 1: WP 2FA を使用して 2 要素認証を追加する

この方法は簡単で、すべてのユーザーにお勧めします。 柔軟性があり、すべてのユーザーに 2 要素認証を強制できます。

まず、WP 2FA – Two-factor Authentication プラグインをインストールしてアクティブ化する必要があります。 詳細については、WordPress プラグインのインストール方法に関するステップバイステップガイドを参照してください。

アクティブ化すると、WPA 2FA セットアップ ウィザードが自動的に起動します。 それ以外の場合は、ユーザー » プロフィールページにアクセスし、「WP 2FA 設定」セクションまで下にスクロールします。

[2 要素認証 (2FA) を構成する] ボタンをクリックすると、セットアップ ウィザードが起動します。

WP 2FA セットアップ ウィザード

「始めましょう!」をクリックするだけです。 ボタンをクリックしてプラグインの設定を開始します。

The WP 2FA Setup Wizard

次のページでは、認証方法を選択するように求められます。

次の 2 つのオプションがあります。

  • 選択した 2FA アプリで生成されたワンタイム コード (推奨)
  • ワンタイムコードはメールで送信されます
Choose 2FA method

より安全で信頼性の高い 2FA アプリ (TOTP) 方式による認証を選択することをお勧めします。

選択したら、「セットアップを続行」ボタンをクリックしてセットアップ ウィザードの次のページに進みます。

携帯電話を紛失した場合など、主要な 2FA 方法が失敗した場合に、ユーザーに使用してもらいたい代替 2FA 方法を尋ねられます。

無料プランではバックアップコード方式のみとなります。 さらに別の 2FA 方法が必要な場合は、WP 2FA プレミアムにアップグレードする必要があります。

WP 2FA Alternative 2FA Methods

「セットアップを続行」ボタンをクリックして次のページに進みます。

このページでは、一部またはすべてのユーザーに対して 2 要素ログインを必須にすることができます。 特に会員制サイトなど、マルチユーザーの WordPress Web サイトを運営している場合には、これをお勧めします。

Web サイト上のすべてのユーザーに 2FA を強制したい場合は、[すべてのユーザー] オプションを選択し、[セットアップを続行] をクリックします。

Enforce 2FA for All Users

これで、すべてのユーザーが 2FA を使用する必要があります。

ただし、Web サイトには 2FA の使用を強制したくないユーザーもいるかもしれません。 次のページでは、それらのチーム メンバーのユーザー名またはユーザー ロールを入力できます。

Exclude Users or Roles from Having to Use 2FA

それが完了したら、[セットアップを続行] ボタンをクリックすると、ユーザーが 2FA の使用をどれだけ早く開始する必要があるかを決定できるページが表示されます。

すぐに開始するように要求することも、準備する時間を確保するために、たとえば 3 日間の猶予期間を与えることもできます。 Web サイトで使用したいオプションをクリックするだけです。

猶予期間を設けたい場合は、その猶予期間を何時間または何日にするかを選択できます。 デフォルト設定の 3 日は、ほとんどの Web サイトで適切に機能します。

Set a Grace Period So Your Users Can Configure 2FA

一部のユーザーが 2FA を設定していない場合に、猶予期間終了後に何をするかについてのオプションもあります。 ユーザーのログインは許可するがダッシュボードへのアクセスは許可しないことも、まったくログインできないようにブロックすることもできます。 ほとんどの Web サイトでは、最初のオプションが最適です。

選択したら、「すべて完了」をクリックしてセットアップ ウィザードを終了します。 おめでとうございます。サイトに 2 要素認証が設定されました。

[セットアップ完了] 画面にお祝いのメッセージが表示されます。 自分のユーザー アカウントに 2FA を設定できるボタンも表示されます。 [今すぐ 2FA を構成する] ボタンをクリックする必要があります。

Configure 2FA on Your Own User Account

自分のユーザーアカウントの 2 要素認証の構成

新しいセットアップ ウィザードが開始され、自分のユーザー アカウントの 2 要素認証をセットアップするのに役立ちます。 Web サイト上の他のユーザーも同様の操作を行うよう求められます。

最初に決定する必要があるのは、どの 2FA メソッドを使用するかです。 認証アプリ経由でワンタイム コードのオプションが表示されるはずです。 セットアップ ウィザード中に行った選択に応じて、他のオプションが表示される場合もあります。

「2FA アプリ経由のワンタイム コード」オプションを選択し、「次のステップ」ボタンをクリックするだけです。

Choose the 2FA Method

プラグインは QR コードとテキスト コードを表示します。

認証アプリを使用して QR コードをスキャンする必要があります。 あるいは、アプリにテキスト コードを手動で入力することもできます。

Use Your Authenticator App to Scan the QR Code

ここで、モバイルデバイスを手に取り、好みの認証アプリを開く必要があります。 以下のスクリーンショットは Authy を使用していますが、他のアプリでも同様の方法で動作します。

まず、認証アプリの「+」または「アカウントの追加」ボタンをクリックします。

Click the + Button to Add an Account

次に、アプリは携帯電話のカメラにアクセスする許可を求めます。

コンピュータ上のプラグインの設定ページに表示される QR コードをスキャンできるように、この許可を許可してから [QR コードをスキャン] ボタンをタップする必要があります。

Click the Scan QR Code Button

アプリが QR コードを認識すると、アカウントの保存が自動的に開始されます。

その後、アカウントのデフォルトのロゴとニックネームを編集できます。 準備ができたら、「保存」ボタンをタップしてください。

Save Your New 2FA Account

認証アプリはウェブサイトのアカウントを保存します。

次に、ワンタイムパスワードの表示が始まります。 これをコンピュータのプラグイン設定に入力する必要があります。

Find Your 2FA Token

ここで、コンピュータに戻る必要があります。

プラグインのセットアップ ウィザードで、[準備完了] ボタンをクリックして続行します。

After Scanning the QR Code, Click the 'I'm Ready' Button

プラグインはワンタイム パスワードを確認するよう求めます。

有効期限が切れる前に、モバイル アプリのコードを「認証コード」フィールドに入力するだけです。

その後、「検証して保存」ボタンをクリックしてセットアップを完了する必要があります。

Type the One-Time Token and Validate

次に、バックアップ コードのリストを生成して保存するオプションが表示されます。 これらのコードは、電話にアクセスできない場合に使用できます。

[バックアップ コードのリストを生成] ボタンをクリックする必要があります。

Click 'Generate List of Backup Codes'

バックアップ コードが生成され、表示されます。

これらのバックアップ コードをコンピュータ上の安全な場所にダウンロードしたり、印刷して安全な場所に置いたり、電子メールで自分に送信したりできます。 携帯電話を持っていない場合でもすぐにアクセスできる場所に保管してください。

List of Backup Codes

その後、「準備ができました。ウィザードを閉じる」ボタンをクリックしてセットアップ ウィザードを終了します。

ログイン時に二要素認証を使用する

次回ユーザーがログインすると、2 要素認証を設定する必要があるという通知と、猶予期間の終了時の期限日が表示されます。

ボタンをクリックして今すぐ 2FA を設定することも、次回のログイン時に通知されるように選択することもできます。

Notification About Needing to Set Up 2FA

[今すぐ 2FA を設定する] ボタンをクリックすると、前のセクションで自分のユーザー アカウントに 2FA を設定したときと同じ手順が実行されます。

2 要素認証を設定した後にサインインすると、通常どおり WordPress ログイン画面が表示されます。 ただし、ユーザー名とパスワードを入力すると、2 番目の画面が表示され、認証アプリからのコードを要求されます。

Users Must Enter an Authentication Code Before Logging In

ログインする前に、携帯電話のアプリからコードを入力する必要があります。携帯電話を持っていない場合は、バックアップ コードを入力することもできます。

これにより、Web サイトの安全性が高まります。 ハッカーがユーザーの 1 人のユーザー名とパスワードを知った場合、そのユーザーは携帯電話にアクセスできない限りログインできなくなります。

ヒント: WordPress Web サイトでカスタム ログイン フォーム ページを使用している場合は、ユーザーが WordPress 管理領域にアクセスせずに 2 要素認証設定を管理できるカスタム ページを作成することもできます。

方法 2: Two-Factor を使用して 2 要素認証を追加する

この方法では、すべてのユーザーに 2 要素ログインを強制することができないため、柔軟性が低くなります。 各ユーザーは自分で設定する必要があり、プロファイルから無効にすることができます。 ただし、自分のアカウントに 2FA を設定したいだけの場合は、これが手早く簡単な方法です。

まず、Two-Factor プラグインをインストールしてアクティブ化する必要があります。 詳細については、WordPress プラグインのインストール方法に関するステップバイステップガイドを参照してください。

アクティブ化したら、 [ユーザー] » [プロフィール]ページにアクセスし、[2 要素オプション] セクションまで下にスクロールする必要があります。

Two Factor options

ここからは、2 要素ログイン オプションを選択する必要があります。 このプラグインを使用すると、電子メール、認証アプリ、FIDO U2F セキュリティ キー メソッドを使用できるようになります。

認証アプリの方法を使用することをお勧めします。 Google Authenticator、Authy、LastPass Authenticator などの認証アプリを使用して、画面上の QR コードをスキャンするだけです。

Click the Scan QR Code Button

QR コードをスキャンすると、プラグイン オプションに入力して [送信] ボタンをクリックする必要がある確認コードがアプリに表示されます。

プラグインは秘密キーを設定します。 このキーは設定ページからいつでもリセットして、QR コードを再スキャンできます。

Secret keys configured

ページの下部にある「プロフィールを更新」ボタンをクリックして設定を保存することを忘れないでください。

これで、WordPress Web サイトにログインするたびに、携帯電話のアプリによって生成された認証コードの入力を求められます。

Add two factor authentication code to continue

WordPress の 2 要素認証 (2FA) に関するよくある質問

ここでは、WordPress での 2 段階ログインの使用に関して最もよくある質問に対する回答をいくつか示します。

1. 電話にアクセスできない場合、2FA でログインするにはどうすればよいですか?

Authy などのクラウド バックアップ オプションを備えた認証アプリを使用している場合は、ラップトップにもアプリをインストールできます。

これにより、携帯電話を持っていない場合でも認証コードにアクセスできるようになります。 また、新しい携帯電話を購入するときに秘密キーを簡単に復元することもできます。

多くの認証アプリでは、バックアップ コードを生成することもできます。 これらのコードは、携帯電話にアクセスできないときにワンタイム パスコードとして使用できます。

2. 認証アプリからコードを使用せずにログインするにはどうすればよいですか?

電話、ラップトップ、またはバックアップ コードにアクセスできない場合は、2FA プラグインを無効にすることによってのみログインできます。

管理エリアにアクセスできない場合にすべての WordPress プラグインを無効にする方法については、ガイドをご覧ください。

すべてのプラグインを無効にすると、2 要素認証プラグインも無効になり、WordPress ウェブサイトにログインできるようになります。 ログインすると、プラグインを再度アクティブ化し、2 要素認証の設定をリセットできます。

3. WordPress 管理フォルダーをパスワードで保護する必要がありますか?

Web サイトのセキュリティは、HTTPS や安全な WordPress ホスティングの使用などの基本から始めて、Web サイトを保護するための複数のセキュリティ層がある場合に最も効果的に機能します。

2 要素認証により WordPress へのログインが安全になりますが、WordPress 管理ディレクトリをパスワードで保護すると、さらに安全になります。 これは、ユーザーが最初にユーザー名とパスワードを入力しない限り、ログイン ページにアクセスできないことを意味します。

この記事が WordPress ログインの 2 要素認証の追加に役立つことを願っています。 WordPress サイト用の無料 SSL 証明書を取得する方法に関するガイドや、専門家が選んだ最高の WordPress セキュリティ プラグインもご覧ください。

この記事が気に入ったら、WordPress ビデオチュートリアルの YouTube チャンネルに登録してください。 Twitter や Facebook でもご覧いただけます。