携帯をなくしちゃったときの対策も！WordPressのログインに二段階認証を要求する

携帯をなくしちゃったときの対策も！WordPressのログインに二段階認証を要求する

エリカ

2016.12.30

携帯をなくしちゃったときの対策も！WordPressのログインに二段階認証を要求する

Share

こんにちは。エリカです。

皆さん、二段階認証は使ってますか？

今回は WordPress に二段階認証を導入してみます。

Two Factor Authenticationプラグインのインストール

さまざまなプラグインのなかで、最新の WordPress4.7 で互換性テストをクリアし、かつインストール数が多かったこちらのプラグイン「 Two Factor Authentication 」を試してみることにします。通常の手順でプラグインをインストールし、有効化していきます。こちら、プレミアム版と通常版がありますが、今回は通常版を使います。なお、日本語の翻訳がなされていないようなので、英語での表示になります。

有効化するとの次の設定ができるようになります。

プラグイン設定

User roles

どのユーザーロールで二段階認証を有効にするかを設定します。初期状態ですべてのロールで利用できるようになっています。

Make two factor authentication compulsory

二段階認証の利用についてはユーザーによる選択式ですが、有料版にすると二段階認証を強制できるようになるとのことです。

XMLRPC requests

比較的攻撃の対象になりかねない XML-RPC 機能を利用する際に、二段階認証を要求するかの設定ができます。XML-RPC の機能を利用していない場合は、「 XMLRPC で二段階認証を要求する」に設定しておくといいですね。

Do not require 2FA over XMLRPC best option （if you must use XMLRPC and your client does not support 2FA）- XMLRPC で二段階認証を要求しない

Do require 2FA over XMLRPC best option （if you do not use XMLRPC or are unsure） – XMLRPC で二段階認証を要求する

Default algorithm

今回は　Google Authenticator を利用するので「 TOTP 」（初期値）を選択します。

TOTP （ time based – most common algorithm; used by Google Authenticator ）

Users’ settings

有料版だと他のユーザーの設定を確認したり、リセットすることも可能です。

ユーザー設定

ユーザー単位での設定になります。二段階認証を利用できるユーザーロールでログインするとメニューに「 Two Factor Auth 」が追加されています。

Activate two factor authentication

まず、二段階認証を利用するかを設定します。「 Enabled 」で二段階認証が有効になります。変更を保存する前に必ず次の操作をしておきます。ログアウトしてしまうとログインできなくなってしまいます。

Google Authenticatorのアプリをインストール

「Google Authenticator」アプリをインストールします。

ページ下部にある「 BEGIN SETUP 」をタップして表示されるメニューから「 Scan barcode 」をタップします。

カメラが起動するので、WordPress の先ほどの画面に表示されている QR コードを読み取ります。6 桁の数値が表示されれば読み取り成功です。

前述の「 Activate two factor authentication 」を「 Enabled 」にしたら変更を保存し、ログアウトします。

二段階認証を利用してログイン

通常どおりログイン画面から入りましょう。ログインに成功すると、二段階認証の設定前であれば管理画面に直接遷移しましたが、その前にもうひとつフォーム画面が表示されるようになりました。

ここに、「 Google Authenticator 」アプリに表示されてる 6 桁の数値を入力します。

これで、ログイン成功です。

つまり、今回の場合でいえば、「 Google Authenticator 」がないとログインできなくなるわけですね。

では、「携帯なくしちゃった」「アプリ消えちゃった」としたら、どうすればよいでしょうか。

ログインできなくなっちゃった

いくつかレスキューする方法が用意されている有料版に比べると、強制的に無効にする以外の選択肢がないようです。

次のコードを wp-config.php などに記述すれば、二段階認証を強制的に無効にすることができます。

define('TWO_FACTOR_DISABLE', true);

これで、二段階認証の適用前のように、ユーザー名とパスワードのみでログインできるようになります。

まとめ

こちらはシンプルで使いやすいプラグインだと思いました。サイトの改ざん防止には、二段階認証の導入がとても有用ですので、ぜひ検討したいですね。

LIGはWebサイト制作を支援しています。ご興味のある方は事業ぺージをぜひご覧ください。

Webサイト制作の実績・料金を見る

この記事のシェア数

エリカ Webディレクター

このメンバーの記事をもっと読むこのメンバーの記事をもっと読む

ディレクターのエリカです。趣味は美術鑑賞で、絵画や展示などたくさんの作品を眺めるのが好きです。得意料理は「鍋」です。よろしくお願いします。

このメンバーの記事をもっと読むこのメンバーの記事をもっと読む

バックエンドへの道 | 58 articles

WordPressのカスタムタクソノミー（カスタム分類）設定方法

エリカ

PHP用統合開発環境「PhpStorm」でPHP_CodeSnifferを利用する

エリカ

Share

Home
Web制作
バックエンド
携帯をなくしちゃったときの対策も！WordPressのログインに二段階認証を要求する