携帯をなくしちゃったときの対策も!WordPressのログインに二段階認証を要求する

エリカ


携帯をなくしちゃったときの対策も!WordPressのログインに二段階認証を要求する

こんにちは。エリカです。

皆さん、二段階認証は使ってますか?

今回は WordPress に二段階認証を導入してみます。

 

Two Factor Authenticationプラグインのインストール

さまざまなプラグインのなかで、最新の WordPress4.7 で互換性テストをクリアし、かつインストール数が多かったこちらのプラグイン「 Two Factor Authentication 」を試してみることにします。通常の手順でプラグインをインストールし、有効化していきます。こちら、プレミアム版と通常版がありますが、今回は通常版を使います。なお、日本語の翻訳がなされていないようなので、英語での表示になります。

有効化するとの次の設定ができるようになります。

 

プラグイン設定

User roles

どのユーザーロールで二段階認証を有効にするかを設定します。初期状態ですべてのロールで利用できるようになっています。

 

Make two factor authentication compulsory

二段階認証の利用についてはユーザーによる選択式ですが、有料版にすると二段階認証を強制できるようになるとのことです。

 

XMLRPC requests

比較的攻撃の対象になりかねない XML-RPC 機能を利用する際に、二段階認証を要求するかの設定ができます。XML-RPC の機能を利用していない場合は、「 XMLRPC で二段階認証を要求する」に設定しておくといいですね。

 
Do not require 2FA over XMLRPC best option (if you must use XMLRPC and your client does not support 2FA)- XMLRPC で二段階認証を要求しない
 
Do require 2FA over XMLRPC best option (if you do not use XMLRPC or are unsure) – XMLRPC で二段階認証を要求する

 

Default algorithm

今回は Google Authenticator を利用するので「 TOTP 」(初期値)を選択します。

 
TOTP ( time based – most common algorithm; used by Google Authenticator )

 

Users’ settings

有料版だと他のユーザーの設定を確認したり、リセットすることも可能です。

 

ユーザー設定

ユーザー単位での設定になります。二段階認証を利用できるユーザーロールでログインするとメニューに「 Two Factor Auth 」が追加されています。

 

Activate two factor authentication

まず、二段階認証を利用するかを設定します。「 Enabled 」で二段階認証が有効になります。変更を保存する前に必ず次の操作をしておきます。ログアウトしてしまうとログインできなくなってしまいます。

 

Google Authenticatorのアプリをインストール

Google Authenticator」アプリをインストールします。

ページ下部にある「 BEGIN SETUP 」をタップして表示されるメニューから「 Scan barcode 」をタップします。

カメラが起動するので、WordPress の先ほどの画面に表示されている QR コードを読み取ります。6 桁の数値が表示されれば読み取り成功です。

前述の「 Activate two factor authentication 」を「 Enabled 」にしたら変更を保存し、ログアウトします。

 

二段階認証を利用してログイン

通常どおりログイン画面から入りましょう。ログインに成功すると、二段階認証の設定前であれば管理画面に直接遷移しましたが、その前にもうひとつフォーム画面が表示されるようになりました。

ここに、「 Google Authenticator 」アプリに表示されてる 6 桁の数値を入力します。

これで、ログイン成功です。

つまり、今回の場合でいえば、「 Google Authenticator 」がないとログインできなくなるわけですね。

 

では、「携帯なくしちゃった」「アプリ消えちゃった」としたら、どうすればよいでしょうか。

 

ログインできなくなっちゃった

いくつかレスキューする方法が用意されている有料版に比べると、強制的に無効にする以外の選択肢がないようです。

次のコードを wp-config.php などに記述すれば、二段階認証を強制的に無効にすることができます。

 

define('TWO_FACTOR_DISABLE', true);

これで、二段階認証の適用前のように、ユーザー名とパスワードのみでログインできるようになります。

 

まとめ

こちらはシンプルで使いやすいプラグインだと思いました。サイトの改ざん防止には、二段階認証の導入がとても有用ですので、ぜひ検討したいですね。

 

エリカ
この記事を書いた人
エリカ

ディレクター

おすすめ記事

Recommended by