セキュリティ 2024.09.17 2024.09.20
WordPress 管理画面で二段階認証(二要素認証)を実装する手順をわかりやすく解説
WordPressの管理画面は、初期状態のままだとIDとパスワードを入力するだけでログインできます。しかし、パスワード認証だけでは安全性が低くセキュリティが不十分なため、二段階認証を導入することで不正ログインやアカウント乗っ取りの被害を防止し、セキュリティを強化することを推奨します
本記事は、二段階認証の基本とWordPress管理画面での導入方法を解説します。最後まで読むと、二段階認証と二要素認証(多要素認証)の違いや、実際にWordPress管理画面の安全性を強化する手順についてわかります。
目次
二段階認証とは
二段階認証は、パスワード認証に別の認証方法を追加することで本人以外が不正にログインできないようにする仕組みです。
通常、IDとパスワードだけの認証方法では、情報が盗まれたり推測された場合に認証が突破されるリスクがあります。そこで、指紋認証やスマートフォンを使用した別の認証方法を追加することで、セキュリティを強化しWebサイトを安全に保ちます。多くのクラウドサービスでも、二段階認証が採用されています。
WordPressで二段階認証を推奨する理由
WordPressの場合、初期状態ではID・パスワード認証だけでログインできます。WebサイトのURLを知っていれば、ログインURLも推測することが可能です。さらに、たとえパスワードを複雑にしても、ツールを使った総当たり攻撃などで認証を突破することは可能です。
このように初期状態ではセキュリティ面のリスクがあるため、不正ログインなどのリスクを軽減し、安心して使用できるように二段階認証の導入が推奨されています。
「二段階認証」と「二要素認証(多要素認証)」の違い
「二段階認証」と良く似た言葉に「二要素認証(多要素認証)」があります。
それぞれの言葉の違いを簡単に説明します。
認証には「認証の三要素」と呼ばれる基本要素があります。
知識情報は、本人だけが知っている情報です。ID・パスワードの組み合わせや、PINコード、秘密の質問の答えが該当します。
所持情報は、本人だけが所持しているものを使用する情報です。ICチップが搭載されたカード類や、スマートフォンを使用するSMS認証/ワンタイムパスワードが該当します。
生体情報は、本人の身体を使用する情報です。指紋、顔、虹彩、静脈が該当します。
認証の三要素のうち、同じ要素を2つ組み合わせた認証を二段階認証と呼びます。
異なる要素を組み合わせた認証を多要素認証(2つの場合は二要素認証)と呼びます。
例えば、ID・パスワードを入力した後、事前に設定してあった秘密の質問に答えるケースは、同じ知識情報を使用しているため二段階認証となります。
パスワードを入力した後に指紋認証を行うケースは、知識情報と生体情報という異なる要素を組み合わせているため二要素認証となります。
セキュリティで重要なのは、複数の要素を組み合わせること
セキュリティ強化を目的とした場合は、可能な限り、より強固なセキュリティを実現できる二要素認証を導入することを推奨します。
単要素の二段階認証として「ID/パスワード」と「秘密の質問」を設定している場合、その両方を同一のPCに保存しているケースが考えられ、一度のサイバー攻撃で同時に漏洩するリスクがあるためです。
そのため、セキュリティを強化するのであれば、二段階認証よりも二要素認証(Two Factor Authentication・2FA)の導入を推奨します。
WordPressで二要素認証を実装する方法
WordPressで二要素認証を実装する方法として、以下の方法がよく使われています。
- スマートフォンにアプリ「Google Authenticator」をインストールする
- WordPressに「Two-Factor」「Wordfence Login Security」「Google Authenticator」などの認証プラグインをインストールする
- 「Two-Factor」を設定して「Google Authenticator」と連携する
今回は、「Google Authenticator」と「Two-Factor」を組み合わせた方法を紹介します。
「Two-Factor」は、WordPressにログインする際に、通常のパスワード認証以外に他の認証を追加できるプラグインです。メール認証、ワンタイムパスワードなど複数の認証方法を追加できますが、今回は導入が容易で安全性も高いスマートフォンのアプリ認証を使用します。
https://ja.wordpress.org/plugins/two-factor/
「Google Authenticator」は、Googleが提供している認証の仕組みです。スマートフォンやタブレットにアプリをインストールし、アプリ上に表示される6桁の認証コードを用いて認証を行います。同名のWordPressプラグインもありますが、別のものです。
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
iOS:
https://apps.apple.com/jp/app/google-authenticator/id388497605
アプリ「Google Authenticator」のインストール手順
AndroidまたはiOSのアプリストアへアクセスし、「Google Authenticator」をインストールします。ユーザーごとに認証の設定を行うため、ログインする担当者のスマホそれぞれにアプリをインストールする必要があります。
「Two-Factor」の設定手順
WordPress管理画面で「プラグイン」→「新規プラグインを追加」を開きます。キーワード欄にプラグイン名(Two-Factor)を入力して検索し、該当アプリの「今すぐインストール」をクリックしてから「有効化」をクリックします。
WordPress管理画面で「ユーザー」→「ユーザー一覧」をクリックし、設定するユーザーの「編集」をクリックします。
ユーザー編集画面の下部にある「Two-Factor設定」項目を設定します。
設定箇所は、「有効」と「メイン」の2種類があります。メインには二要素認証を実現できる「認証アプリ」を、サブには運用が容易な「メール」または「リカバリーコード」を設定するのがおすすめです。
- 1つだけ「有効」をクリックした場合:選択した認証方式がメイン認証として適用されます
- 2つ「有効」をクリックした場合:「メイン」を選択した認証方式が最初に適用され、それ以外はメイン認証がうまくいかない場合に使用されるサブの認証方式として設定されます。
認証種類 | 設定方法/認証手順 | 認証要素 |
---|---|---|
メール | 追加設定:特になし 認証:ログインする都度、設定済みメールアドレス宛に 送信される認証コードを入力 |
知識 |
認証アプリ | 追加設定:「Google Authenticator」アプリでQR コー ドをスキャン(または手動でキーを入力)し、アプリが 表示する認証コードを設定画面にある「認証コード」欄 に入力して「送信する」をクリック 認証:ログインする都度、アプリに表示されている認証 コードを入力 |
所有 |
FIDO U2F 秘密鍵 | 追加設定:セキュリティキーを設定 | 所有 |
リカバリーコード | 追加設定:「新しいリカバリーコードを生成」をクリッ クし、生成された10個のコード情報をダウンロード 認証:ログインする都度、リカバリーコードを入力。 コードは1度きりしか使用できない |
知識 |
※FIDO U2F(Universal 2nd Factor)は、新しい認証方式であるFIDO(Fast Identity Online/ファイド)認証の1方式です。通常のパスワード認証に、セキュリティキーを追加した二段階認証を提供します。使用するには、専用のデバイスを購入する必要があります。
まとめ
WordPressは初期状態のままだと安全性が低いため、追加でセキュリティ対策を行うことが重要です。二段階認証(二要素認証)は不正ログイン防止策として有効で、導入も手軽なため、行っておくことをおすすめします。
WordPress保守・運用のパートナーなら「wp.support」にお任せ!
WordPressサイトを運用していて、以下のようなお悩みはありませんか?
- 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
- サイトのUI/UXを改善したいけれど、自社内では難しい…
- WordPressサイトを高速化したいけれど、ノウハウがない…
- セキュリティ対策をしたいけれど、知識のある人材がいない…
- 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
- ちょっとしたトラブルを気軽に相談できる相手が欲しい…
「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。
既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。
WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。
バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!
WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?
面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!
【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...
WordPressに関することなら何でもご相談ください!