WordPressの管理画面に二要素認証を追加する
皆さんご存じのとおり、WordPressのデフォルト設定では「ユーザー名」と「パスワード」のみで認証が行われます。
しかし、近年はパスワード解析(総当たり攻撃)や、流出したリストを用いた不正ログインによるウェブサイトの改ざん・悪用被害が多発しており、パスワードのみの管理には限界がきています。
そこで本記事では、WordPressの公式開発チームが手掛けるプラグイン「Two-Factor」を導入し、管理画面に二要素認証を追加して、悪意ある攻撃者からウェブサイトを守る方法をご紹介します。
このプラグインを使うことで、通常のログインに加え、スマートフォンでの「ワンタイムパスワード」や「メール認証」といった追加のステップ(二要素認証)を簡単に組み込むことができます。万が一パスワードが盗まれても、手元のデバイスがなければログインできないため、サイトの安全性を飛躍的に高めることが可能です。
目次
WordPressの管理画面に二要素認証を追加する
それでは、具体的なインストール方法から設定の手順まで、詳しく見ていきましょう。
「Two-Factor」のインストール
WordPressの管理画面にログインし、メニューから「プラグインを追加」を選択します。「プラグインの検索」フィールドに「Two-Factor」と入力して検索します。「今すぐインストール」ボタンを押下して、以下のプラグインをインストールします。
プラグインのインストールが完了したら、「Activate」ボタンを押下して、「Two-Factor」を有効化します。
二要素認証の設定
二要素認証は、WordPressの管理画面に登録されているユーザごとに設定していきます。メニューから「ユーザー」→「ユーザー一覧」を選択し、二要素認証を適用するユーザーの「編集」をクリックします。
ユーザーの設定画面の下の方に「Two-Factor設定」の項目があります。「認証アプリを有効化」にチェックを付けて、下にあるQRコードをスマートフォンにインストールしたGoogleやMicrosoftのAuthenticatorアプリで読み取り、表示された認証コードを入力して「検証」ボタンを押下します。
最後に「プロフィールを更新」ボタンを押下して設定を保存します。
【重要】ログインできなくなるトラブルを防ぐために
認証アプリの設定とあわせて、必ず「バックアップコード」も有効化しておきましょう。これは、スマホの紛失などで認証コードが受け取れない時に「予備の鍵」として使える使い捨てのコードです。表示されたコードをメモしたり印刷したりして、安全な場所に保管しておくことを推奨します。
「バックアップコード」の設定が終わったら、「プロフィールを更新」ボタンの押下を忘れず行いましょう。
二要素認証を確認する
二要素認証を設定したユーザーでWordPressの管理画面にログインして、二要素認証ができることを確認します。
ユーザー名とパスワードの入力はこれまでと変わりありません。「ログイン」ボタンを押下してログインします。
二要素認証を適用したユーザーの場合は、以下のような認証コードを入力する画面が表示されますので、スマートフォンのAuthenticatorアプリに表示されている6桁の認証コードを入力して「検証」ボタンを押下します。
二要素認証が成功したら、WordPressの管理画面が表示されます。以上でWordPressの管理画面に二要素認証を追加できました。
まとめ
今回は、WordPressの公式開発チームが手掛けるプラグイン「Two-Factor」を導入し、管理画面に二要素認証を追加する方法を解説しました。
今、この瞬間も、世界中のWordPressサイトはボットなどによる無差別なログイン攻撃(総当たり攻撃)にさらされています。「自分のサイトはまだ小さいから狙われない」ということは決してありません。一度パスワードが破られれば、サイトの改ざんや情報の流出といった甚大な被害に直結します。
今回ご紹介した二要素認証は、そうした執拗な攻撃からサイトを守るための「最強の盾」となります。管理画面の入り口を鉄壁にすることは、あなたのサイト、そしてサイトを訪れるユーザーを保護する上で最も重要なステップです。
しかし、セキュリティ対策に「終わり」はありません。今後は、プラグインやテーマを常に最新の状態に保つことや、不要なユーザーアカウントを整理することなど、基本的なメンテナンスも忘れずに行っていきましょう。
万全のセキュリティ体制を整えて、安全で素晴らしいコンテンツ発信を続けてください!
ホームページやWordPressに関するお問い合わについて
どんな内容でも構いませんので、気兼ねなくご相談ください。
システムエンジニアリングの経験を持つスタッフが、ボランティアでご相談に応じさせていただきます。
