WP-Search
キーワードコンソール
SEOキーワードツール
この記事では、WordPressプラグイン「Two-Factor(ツーファクター)」の初期設定と使い方を、画像を用いてわかりやすくご紹介します。
WordPress(ワードプレス)で必ず最初にインストールするのが、セキュリティ対策プラグインです。
セキュリティを強化したいなら、2段階認証プラグインを導入しましょう。
Wordfence Securityよりおすすめです。
なるほど!シンプルで便利ですもんね。
ログインできない場合の復旧方法についても記載しています。
この記事を最後まで読めば、WordPress(ワードプレス)で不正アクセス対策がすぐ完了します。
ぜひ最後まで進めてみてください。
すでに途中まで進めている人は、目次から該当箇所に飛ぶこともできます。
ログイン系のセキュリティ対策プラグインとしては、「Two-Factor」以外にもあります。
プラグイン | ログインロック | 二段階認証 | .htaccess | おすすめ度 |
---|---|---|---|---|
XO Security | ||||
SiteGuard WP Plugin | ||||
Two-Factor | ||||
Wordfence Security |
「.htaccess」ファイルを改変する「SiteGuard」と「Wordfence」は、ログインできないなどの不具合が多いためおすすめできません。
特に「Wordfence」は多機能すぎて設定が大変なだけでなく、簡単にアンインストールもできない厄介なプラグインのため、初心者にはおすすめできません。
多機能プラグインは他プラグインとの機能重複による不具合なども多いです。
ログイン失敗回数などでログインロックする機能は必ず必要になるため、初心者向けには「XO Security」をおすすめしています。
二段階認証はないため、さらにセキュリティ機能を強化したい場合は「Two-Factor」を併用します。
そもそも二段階認証(多要素認証)は必要なのでしょうか?
まず、十分複雑なパスワードを設定するなど、最低限のセキュリティ対策をしていればほとんどの場合問題は少ないです。
ただ、セキュリティに100%はないため、できるだけ複数のセキュリティ対策を行うことになります。
このような考え方を「多層防御」と言います。
一方で、セキュリティ対策を行えば行うほど、ログイン操作が面倒になるなど利便性が下がります。
二段階認証は、たとえ利便性が下がってもセキュリティ対策を強化したい人向けのものです。
これらのようにリスクの高いサイトであれば、導入を検討すべきでしょう。
個人ブログなどでリスクが低い場合は、何かあってもバックアップから復旧できるようにしておけば不要と考えることもできます。
パスワード管理に自信がない人や心配性の人であれば、二段階認証は安心材料になるかもしれません。
いずれにしろ、必要最低限のセキュリティ対策は実施してください。
WordPress(ワードプレス)の管理画面から「Two-Factor」プラグインをインストールします。
プラグインを有効化したら「ユーザープロフィール」ページで設定を行います。
必ず複数の認証方法を設定しておきましょう。
作業を開始する前に、サーバーでバックアップを取得しておくことをおすすめします。
WordPress(ワードプレス)にログインしたら、左メニューの[プラグイン]→[新規追加]をクリックして、[プラグインの検索]をします。
[プラグイン]→[新規追加]から「Two-Factor」を検索して、[今すぐインストール]した後に[有効化]します。
「Two-Factor」は、ユーザーごとにプロフィールページから設定します。
ここでは、ログインしている管理者ユーザーの設定方法を見ていきます。
左メニューの[ユーザー]→[プロフィール]をクリックして、「Two-Factor 設定」までスクロールします。
[メール]と[Time Based One-Time Password (TOTP)]を[有効]にし、[メイン]を決めます。
設定項目 | 説明 |
---|---|
メール | メールによる二段階認証 → バックアップ用にON |
Time Based One-Time Password (TOTP) | モバイルアプリによる二段階認証 → メイン用にON |
FIDO U2F 秘密鍵 | FIDOデバイスによる二段階認証 → 使用しないためOFF |
バックアップ検証コード | 使い捨てコードによる二段階認証 → メールでバックアップするのでOFF |
このまま[プロフィールを更新]すると設定が完了しないため、保存しないまま次のステップに進みます。
[Time Based One-Time Password (TOTP)]とは、時間によって変わるワンタイムパスワードです。
モバイルアプリで生成されることが多く、デバイスに紐づくためセキュリティ強度が高くなります。
今回は利便性を考慮して、バックアップ用にメールによる二段階認証も設定しています。
[Time Based One-Time Password (TOTP)]のモバイルアプリを設定していきます。
二段階認証アプリには、「Google Authenticator(Google 認証システム)」などもありますが、「Authy」のほうがおすすめです。
以下は、iPhoneの場合の画面で説明します。
上記リンクやアプリストアから、「Authy」をインストールします。
起動したら、デバイスの登録を行います。
まず、電話番号の国コードを入力するため、[+Code]をタッチします。
「japan」と検索して表示される[Japan(+81)]をタッチして選択します。
[Cellphone number]に携帯電話番号を入力して[OK]をタッチします。
[Email Address]にメールアドレスを入力して[OK]をタッチします。
電話番号を認証するために[SMS]をタッチします。
送られてきた6桁の認証コードを[Registration Code]に入力します。
以上でAuthyのデバイス認証は完了です。
次にWordPressのアカウントを登録します。
[Add Account]をタッチします。
[Scan QR Code]をタッチします。
カメラが起動するので、WordPress画面に戻って[QRコード]をスキャンします。
バックアップパスワードの設定画面が表示された場合は、[Backup Password]を入力して[Enable Backups]をタッチします。
ここでいう[Backup Password]とは、「Authy」アプリ用のものです。
アカウント名はそのままでOKなので[Save]をタッチします。
ワンタイムパスワードが表示されるので、PC画面に戻ります。
WordPress画面で先程のワンタイムパスワードを[認証コード]に入力して[送信する]をクリックします。
以上でアカウントの追加は完了です。
今後はWordPressにパスワードでログインすると以下のような画面が表示されます。
毎回[認証コード]にAuthyのワンタイムパスワードを入力して[認証する]をクリックしてログインを完了します。
Authyのワンタイムパスワードでログインできなくなった場合は、[メール→]をクリックしてメールでワンタイムパスワードを受け取ります。
今回はモバイルアプリによる二段階認証(TOTP)に加えて、メールによる二段階認証を設定しています。
もしモバイルアプリを使用できなくなった場合は、まずメールによる二段階認証を試してみてください。
やり方を忘れそうな人は、本ページをブックマークしておきましょう。
ここでは、万一ログインできなくなった場合に、サーバー側から二段階認証を解除する方法を紹介します。
FTPソフトやレンタルサーバーのファイルマネージャーでサーバーディレクトリにアクセスします。
/public_html/サイト/wp-content/plugins/two-factor/
を「two-factor2」などに変更します。
/サイト/public_html/wp-content/plugins/two-factor/
などの場合もあります。
プラグイン「Two-Factor」が無効化された状態でログインできるはずです。
/public_html/サイト/wp-content/plugins/two-factor2/
を「two-factor」に戻します。
/サイト/public_html/wp-content/plugins/two-factor2/
などの場合もあります。
必ず設定を見直しておきましょう。
画面が変わらない場合は、Cookie(クッキー)やブラウザキャッシュをクリアするか、別のブラウザでアクセスしてみてください。
プラグイン「Two-Factor」の初期設定と管理画面にログインできなくなったときの復旧方法を見てきました。
ログインできなくなったときの対処法を覚えておくことをおすすめします。
よく理解できました。
セキュリティプラグインとしては、「XO Security」もおすすめです。
WordPress(ワードプレス)の初期設定がまだの場合は、以下を参考にしてください。
コメント