【2段階認証】Two-Factorの設定方法と使い方【不具合対処】
この記事では、WordPressプラグイン「Two-Factor(ツーファクター)」の初期設定と使い方を、画像を用いてわかりやすくご紹介します。
WordPress(ワードプレス)で必ず最初にインストールするのが、セキュリティ対策プラグインです。
セキュリティを強化したいなら、2段階認証プラグインを導入しましょう。
suyaWordfence Securityよりおすすめです。
なるほどくんなるほど!シンプルで便利ですもんね。
この記事でできること
- 「Two Factor」の初期設定が完了できる
- 管理画面にログインできないときの対処法がわかる
この記事を最後まで読めば、WordPress(ワードプレス)で不正アクセス対策がすぐ完了します。
ぜひ最後まで進めてみてください。
完了している必要のある事前準備
すでに途中まで進めている人は、目次から該当箇所に飛ぶこともできます。
目次
他のセキュリティプラグインとの住み分け・併用
ログイン系のセキュリティ対策プラグインとしては、「Two-Factor」以外にもあります。
| プラグイン | ログインロック | 二段階認証 | .htaccess | おすすめ度 |
|---|---|---|---|---|
| XO Security | ||||
| SiteGuard WP Plugin | ||||
| Two-Factor | ||||
| Wordfence Security |
「.htaccess」ファイルを改変する「SiteGuard」と「Wordfence」は、ログインできないなどの不具合が多いためおすすめできません。
特に「Wordfence」は多機能すぎて設定が大変なだけでなく、簡単にアンインストールもできない厄介なプラグインのため、初心者にはおすすめできません。
suya多機能プラグインは他プラグインとの機能重複による不具合なども多いです。
ログイン失敗回数などでログインロックする機能は必ず必要になるため、初心者向けには「XO Security」をおすすめしています。
あわせて読みたい
XO Securityの設定方法と不具合対処【初心者/SWELL向け】 この記事では、WordPressプラグイン「XO Security(エックスオー セキュリティ)」の初期設定と使い方を、画像を用いてわかりやすくご紹介します。 WordPress(ワードプ…
二段階認証はないため、さらにセキュリティ機能を強化したい場合は「Two-Factor」を併用します。
「Two-Factor」・二段階認証は必要か?
そもそも二段階認証(多要素認証)は必要なのでしょうか?
まず、十分複雑なパスワードを設定するなど、最低限のセキュリティ対策をしていればほとんどの場合問題は少ないです。
ただ、セキュリティに100%はないため、できるだけ複数のセキュリティ対策を行うことになります。
suyaこのような考え方を「多層防御」と言います。
一方で、セキュリティ対策を行えば行うほど、ログイン操作が面倒になるなど利便性が下がります。
二段階認証は、たとえ利便性が下がってもセキュリティ対策を強化したい人向けのものです。
- ユーザー情報を扱う会員サイト
- 個人情報を扱うECサイト
- 社外秘情報・機密情報を扱う社内サイト
- 運用請負などで万一が許されない受託サイト
これらのようにリスクの高いサイトであれば、導入を検討すべきでしょう。
個人ブログなどでリスクが低い場合は、何かあってもバックアップから復旧できるようにしておけば不要と考えることもできます。
パスワード管理に自信がない人や心配性の人であれば、二段階認証は安心材料になるかもしれません。
いずれにしろ、必要最低限のセキュリティ対策は実施してください。
WordPressの最低限のセキュリティ対策
- サイト表示名(ニックネーム)をユーザー名(ログインID)から変更する
- 簡単なパスワードから複雑なパスワードに変更する
- サイトをSSL(https)対応する(Really Simple SSLなど)
- WordPress本体、テーマ、プラグインなどを定期的にバージョンアップする
プラグイン「Two-Factor」を導入する流れ
WordPress(ワードプレス)の管理画面から「Two-Factor」プラグインをインストールします。
プラグインを有効化したら「ユーザープロフィール」ページで設定を行います。
必ず複数の認証方法を設定しておきましょう。
1) プラグイン「Two-Factor」をインストール
作業を開始する前に、サーバーでバックアップを取得しておくことをおすすめします。
WordPress(ワードプレス)にログインしたら、左メニューの[プラグイン]→[新規追加]をクリックして、[プラグインの検索]をします。
[プラグイン]→[新規追加]から「Two-Factor」を検索して、[今すぐインストール]した後に[有効化]します。
2) プラグイン「Two-Factor」の設定方法
「Two-Factor」は、ユーザーごとにプロフィールページから設定します。
ここでは、ログインしている管理者ユーザーの設定方法を見ていきます。
1) プロフィール設定
左メニューの[ユーザー]→[プロフィール]をクリックして、「Two-Factor 設定」までスクロールします。
[メール]と[Time Based One-Time Password (TOTP)]を[有効]にし、[メイン]を決めます。
| 設定項目 | 説明 |
|---|---|
| メール | メールによる二段階認証 → バックアップ用にON |
| Time Based One-Time Password (TOTP) | モバイルアプリによる二段階認証 → メイン用にON |
| FIDO U2F 秘密鍵 | FIDOデバイスによる二段階認証 → 使用しないためOFF |
| バックアップ検証コード | 使い捨てコードによる二段階認証 → メールでバックアップするのでOFF |
[Time Based One-Time Password (TOTP)]とは、時間によって変わるワンタイムパスワードです。
モバイルアプリで生成されることが多く、デバイスに紐づくためセキュリティ強度が高くなります。
今回は利便性を考慮して、バックアップ用にメールによる二段階認証も設定しています。
2) モバイル認証アプリ「Authy」の設定方法
[Time Based One-Time Password (TOTP)]のモバイルアプリを設定していきます。
二段階認証アプリには、「Google Authenticator(Google 認証システム)」などもありますが、「Authy」のほうがおすすめです。
上記リンクやアプリストアから、「Authy」をインストールします。
起動したら、デバイスの登録を行います。
まず、電話番号の国コードを入力するため、[+Code]をタッチします。
「japan」と検索して表示される[Japan(+81)]をタッチして選択します。
[Cellphone number]に携帯電話番号を入力して[OK]をタッチします。
[Email Address]にメールアドレスを入力して[OK]をタッチします。
電話番号を認証するために[SMS]をタッチします。
送られてきた6桁の認証コードを[Registration Code]に入力します。
以上でAuthyのデバイス認証は完了です。
3) モバイル認証アプリ「Authy」のアカウント追加
次にWordPressのアカウントを登録します。
[Add Account]をタッチします。
[Scan QR Code]をタッチします。
カメラが起動するので、WordPress画面に戻って[QRコード]をスキャンします。
バックアップパスワードの設定画面が表示された場合は、[Backup Password]を入力して[Enable Backups]をタッチします。
アカウント名はそのままでOKなので[Save]をタッチします。
ワンタイムパスワードが表示されるので、PC画面に戻ります。
WordPress画面で先程のワンタイムパスワードを[認証コード]に入力して[送信する]をクリックします。
以上でアカウントの追加は完了です。
4) 二段階認証のログイン方法
今後はWordPressにパスワードでログインすると以下のような画面が表示されます。
毎回[認証コード]にAuthyのワンタイムパスワードを入力して[認証する]をクリックしてログインを完了します。
3) 管理画面にログインできないときの対処法
今回はモバイルアプリによる二段階認証(TOTP)に加えて、メールによる二段階認証を設定しています。
もしモバイルアプリを使用できなくなった場合は、まずメールによる二段階認証を試してみてください。
ここでは、万一ログインできなくなった場合に、サーバー側から二段階認証を解除する方法を紹介します。
STEP
サーバーディレクトリ(ファイル管理)にアクセス
FTPソフトやレンタルサーバーのファイルマネージャーでサーバーディレクトリにアクセスします。
STEP
プラグインフォルダの名前を変更
/public_html/サイト/wp-content/plugins/two-factor/を「two-factor2」などに変更します。
/サイト/public_html/wp-content/plugins/two-factor/などの場合もあります。
STEP
WordPressにログイン
プラグイン「Two-Factor」が無効化された状態でログインできるはずです。
STEP
ログインできたらフォルダ名を元に戻してブラウザを更新(F5)
/public_html/サイト/wp-content/plugins/two-factor2/を「two-factor」に戻します。
/サイト/public_html/wp-content/plugins/two-factor2/などの場合もあります。
STEP
「Two-Factor」の設定を確認・変更する
必ず設定を見直しておきましょう。
画面が変わらない場合は、Cookie(クッキー)やブラウザキャッシュをクリアするか、別のブラウザでアクセスしてみてください。
この記事のまとめ
プラグイン「Two-Factor」の初期設定と管理画面にログインできなくなったときの復旧方法を見てきました。
ログインできなくなったときの対処法を覚えておくことをおすすめします。
なるほどくんよく理解できました。
セキュリティプラグインとしては、「XO Security」もおすすめです。
あわせて読みたい
XO Securityの設定方法と不具合対処【初心者/SWELL向け】 この記事では、WordPressプラグイン「XO Security(エックスオー セキュリティ)」の初期設定と使い方を、画像を用いてわかりやすくご紹介します。 WordPress(ワードプ…
WordPress(ワードプレス)の初期設定がまだの場合は、以下を参考にしてください。
あわせて読みたい
WordPressのおすすめ初期設定【必須8項目】 この記事では、WordPress(ワードプレス)でおすすめの初期設定のやり方と手順を、画像を用いてわかりやすくご紹介します。 WordPressを始めたら、最初にやるべき必須の…
SSLプラグイン
高速化プラグイン
この記事の参考情報
- Two-Factor公式サイト
みんな使ってる
被リンク獲得リスト
コメント