WordPress は世界で最も使用されている CMS です。そのぶん攻撃対象にされやすく、しっかりセキュリティ対策を行っていないと不正ログインなどの被害にあってしまいます。
万が一管理者権限を持つアカウントで不正ログインされてしまった場合、サーバー側で書き込み制限を行っていない限りテーマやプラグインを勝手に正規の方法で改ざんされてしまいます。
そこで役立つのがSMSを使った本人認証です。
不正ログイン対策の方法はたくさん用意されていますが、導入敷居が低い方法の中でもっともセキュリティが強力なのはSMS認証でしょう。SMS認証であれば、対応する電話番号を所有している方しかログインを通過できないので信頼性が極めて高いです。今回はそんなSMS認証のメリットや、WordPressにSMS認証を導入する方法を紹介します。
SMS認証のメリット
SMS認証の最大のメリットはログイン関係のセキュリティが大幅に強化されるということです。なぜセキュリティが超大幅に強化するのが気になると思いますので、どういうふうにセキュリティが強化されているのか解説します。
パスワードがバレても不正アクセスされない
メールアドレスやパスワードを複数のサービスで使いまわしている場合、どこかからそのメールアドレスやパスワードが流出してしまうことがあります。
メールアドレスやパスワードが流出してしまうとどれだけ複雑で長いパスワードを設定したとしても意味がありません。もちろんWordPressも例外ではありません。ですがSMS認証を導入した場合、メールアドレス・パスワード認証を通過したあとに求められうSMS認証も一発で通過しないといけないため、対応した電話番号を持たない不正アクセス者にとって不正ログインは実質不可能です。
電話番号がバレても問題ない
SMS認証では電話番号を使いますが、仮に電話番号がばれたとしても問題ありません。SMSを受け取れるのは電話番号を使用できるSIMカードが挿入されたケータイ・スマートフォンを所有している方だけであるため、電話番号がばれたところで特に影響はないのです。
つまりWordPressにSMS認証を実装することで、
- メールアドレスやパスワードがバレてもSMS認証に引っかかって不正ログインに失敗する
- SMS認証で使われている電話番号が漏れても不正ログインしようとする相手はSMSを受け取れないから意味がない
ということになり、メールアドレス・パスワード・電話番号全て流出してもWordPressに不正ログインされないということになります。
これがSMS認証が不正ログイン対策においてとても強力である理由でしょう。
生体認証よりもコストが低い
一番セキュリティが高いのは虹彩認証や指紋認証といった生体認証ですが、生体認証は技術的に難しい関係でコストが非常に高いです。少なくともWordPressに手軽に導入できる代物ではないでしょう。
ですがSMS認証は一段階下の所有物認証(認証に必要なデバイスを持っている人しか認証できない)であるため、コストが低くなおかつセキュリティが高いという特徴があります。
先ほども言った通り、生体認証に劣るとは言っても、メールアドレス・パスワード・電話番号全て流出したとしても、電話番号を使えるデバイスさえなければ不正ログインされないためかなり強力です。
WordPressにSMS認証を導入する方法
SMS認証を導入する現実的な方法は大きく分けて2つです。
Value-authを使う
Value-authという本人認証サービスを使えば簡単に SMS 認証を導入できます。


Value-authとはGMOが提供している本人認証サービスで0円から始めることができます。SMS認証にかかる費用は従量課金となっており、SMS1通につき7.5円しかかかりません。管理画面へのログイン作業は頻繁に行うことではないためセキュリティ対策にかかる費用としては最安級でしょう。
メール認証にも対応しており、メール認証であれば0.09円から利用できます。
SMS認証 | メール認証 | |
---|---|---|
初期費用 | 0円 | 0円 |
月額基本料 | 0円 | 0円 |
1通あたりの料金 | 7.5円~ | 0.09円~ |
無料利用枠 | 初月10通 | 100通 |
初月10回分のSMSが無料枠として用意されているので、SMS認証でどれくらいセキュリティが高くなるのか実感したい方は試してみることをおすすめします。

外注する
独自の SMS 認証システムを構築したい場合は外注してしまいましょう。ですが、新規開発になるためコストは極めて高いです。
数万円で片付く案件ではないでしょう。セキュリティーを重点的に固めて行かなければならないため、開発費は数百万円に及ぶ可能性があります。
選択肢の一つではありますが、Value-authといった既存サービスが登場している中では決しておすすめできる方法ではありません。
Value-authを使ってWordPressにSMS認証を実装する
WordPressを使うのであれば、先ほど紹介したValue-authが一番おすすめです。時間も費用もかかりません。そこでここからは実際にWordPressにValue-authを導入する方法について紹介します。
Value-authアカウント登録方法
まずはValue-auth公式サイトにアクセスしましょう。
公式サイトにアクセスしたら[無料で始める]をクリックします。

ユーザー名・パスワード・メールアドレスを入力してアカウントを作成します。

アカウントを作成したら支払い方法の選択画面が表示されますが、ここはサーバー・ドメイン関係の設定なので一旦スキップしましょう。


さいごに [ユーザー登録する]をクリックしてアカウント登録を完了します。

アカウントを作成したら[コントロールパネルTOPへ]をクリックしてコントロールパネルにアクセスします。

認証コード入力画面が表示されますが、ここで入力する認証コードはアカウント作成時に送られたメールアドレス宛に送られています。


これでValue-authを利用する前準備が完了しました。
VALUE-DOMAINアカウントの準備が完了したら、Value-Authアカウントの管理・登録ページにアクセスします。
[Value-Authの新規アカウントを作成]をクリック

アカウント名・メールアドレスを確認して[アカウントを登録する]をクリックします。

[戻るにはここをクリック]をクリック

Value-Authアカウントが作成されているのが確認できたはずです。それと同時にValue-Authのアカウント名・メールアドレス・パスワードが記載されたメールが送られてきます。

確認できたらValue-authの[ログイン]をクリックしてValue-Authにログインしてみましょう。

Value-authログイン画面が表示されますのでログインしましょう。

管理画面にアクセスできたらValue-authの利用準備完了です。

WordPressにValue-authを設定する
Value-authの利用準備が整ったらあとはカンタンです。順番に進めていきましょう。
WordPressのSMS認証で使うAPIキーを発行します。「API認証キーを作成してください」をクリックしてください。

[APIキーの作成]をクリックします。

サービス名は何でも構いません。サイト名やドメイン名などを設定するといいでしょう。

APIキーが表示されます。APIキーが表示されるのはこのときだけであり、後で表示させることはできないので注意してください(忘れた場合は再作成が必要です)。

Value-Authを利用するドメインを登録します。登録されたドメインでのみ利用できるため万が一APIキーが流出しても被害を防げます。
Value-Authダッシュボードに戻り、「Value-Authを使用するサイトを登録してください」をクリックします。

サイト名とドメインをそれぞれ入力します。

「認証設定」の[二段階認証]にある[表示]をクリック

表示された認証コードをメモ帳などに控えておいてください。

これでValue-Auth側の事前準備完了です。
Value-auth用のWordPressプラグインをダウンロードしましょう。
プラグインをダウンロードしたらWordPressにzipファイルのままアップロードします。解凍してからアップロードすると上手くいかないので注意してください。

アップロード完了後、Value-Authプラグインを有効化します。
左メニューに追加されている[2段階認証]をクリック

[ON]をクリックして2段階認証を有効化します。

先ほどメモしたValue-AuthのAPIキーと認証コードをを入力して登録します。

メール認証・SMS認証の項目がそれぞれ表示されたらAPIキー・認証コードを正しく入力できています。

「SMS認証」の欄にSMS認証に使用する電話番号を登録します。

電話番号を追加したらシークレットブラウザなどでWordPressにログインしてみましょう。
ダッシュボードへのアクセスはできますが、2段階認証コードを入力するまで一切の操作ができない状態になっているはずです。

それと同時に登録した電話番号宛に認証コードが送信されてきますので、その認証コードを入力しましょう。

正しく認証コードを入力できたらいつもどおりダッシュボードが表示されて、記事の作成など各種操作を行えます。

これでValue-Authを用いてSMS認証をWordPressに導入できました。これだけでかなりセキュリティが強化されたはずです。
Value-authのQ&A
SMS認証できなくなった場合は?
SMS認証ができないということは WordPress にログインできないということです。もし電話番号を変更したなどの理由でSMS認証手段を失った場合は、Value-auth管理画面から無効化できます。

もう一つの方法は強引な方法ですが、サーバーにFTP・SSH接続できる場合はValue-authのプラグインフォルダをまるごと削除する方法もあります。好きな方法をとりましょう。
SMS認証で使える電話番号は?
SMS認証で使える電話番号は「090」「080」「070」から始まる電話番号のみです。「050」から始まるIP電話や海外の電話番号・市外局番から始まる固定電話などはもともとSMSに対応していないのので利用できません。
コスパ最強のSMS認証でセキュリティを強化しよう
Value-authはWordPressに対応しているので導入コストが極めて低いです。やろうと思えば個人でも導入できるでしょう。
それに即日SMS認証を始められるので、セキュリティに不安があってすぐにでも不正ログイン対策を強化したいというときでも安心です。