WordPress ログインページの URL が固定であるため、簡単にログインページからパスワードアタックを仕掛けられてしまいます。
そういう時は二段階認証機能をログインページに追加しましょう。二段階認証を導入することでWordPress管理画面に不正ログインされる可能性を限りなくゼロに近い状態にでき、セキュリティーが高まります。
そんな二段階認証はWordPressならプラグインを使うだけで実装できます。今回はプラグインを使ってWordPressのログインに二段階認証を実装する方法を解説します。
二段階認証を実装できるプラグイン「Two Factor」
初心者でも簡単に二段階認証を実装できるのが「Two Factor」というプラグインです。「Two Factor」は5種類の二要素認証・二段階認証が用意されており、好きな方法を選択できます。
Two Factorの導入
Two FactorはWordPress管理画面からインストールできます。
「Two Factor」と検索すると見つかりますのでインストールして有効化しておきましょう。
二段階認証の設定
二段階認証の設定はユーザーアカウント単位で行います。そのため、管理者権限を持つアカウントのみ2段階認証を有効化することが可能です。
まずはユーザー一覧を表示し、二段階認証を設定したいユーザー名をクリックしましょう。
一番下までスクロールすると「Two-Factor設定」が追加されているので、この中から好きな方法を選択します。
それぞれ二段階認証の設定方法が異なるので、順番に解説します。
メール認証
最もシンプルな方法がメール認証です。やり方は簡単で「メール」の[有効]にチェックを入れるだけです。
ユーザーアカウントに設定しているメールアドレスは必ず自分が受信できるものにしておいてください。そうしないとログインする手段を失います。
Time Based One-Time Password
いわゆるGoogle2段階認証アプリを使った方法です。Google2段階認証アプリに登録しているスマホ・デバイスからしか確認できないほか、30秒ごとにパスワードが変わる関係で特定が困難であるため、メール認証よりも強力です。
二段階認証アプリをインストールしていない方は事前にインストールしておきましょう。
二段階認証アプリを使った認証をする場合は、「 Time Based One-Time Password」にチェックを入れたあと、表示されたQRコードをアプリで読み取ります。
アプリで読み取った後、表示された6桁のパスワードをQRコード下にある「認証コード」に入力して送信します。
「Two Factor設定」にQRコードが表示されず、[リセットキー]というボタンが表示されていたら認証成功です。設定を有効にすることでログイン時に二段階認証を要求されるようになります。
「無効な二段階認証コードです」と表示された場合はなんらかのミスを起こしています。たまたまパスワードが切り替わったタイミングで認証コードを送信した場合など、入力ミスを起こしていないのにエラーになることがあるので、その場合はもう一度QRコードを読み取るところからやり直してください。
FIDO U2F Security Keys
これはGoogleのセキュリティ物理キーを使った認証方法です。物理キーがないとログインできなくなるため非常に強力ですが、別でセキュリティキーを購入する必要があるためコストがかかります。
安くても4,800円する上にいつでも購入できるわけではないためあまりおすすめできません。
また、物理キーが必要になる都合上、物理キーがない環境では管理人本人すらログインできないので扱いには注意が必要です。
バックアップ検証コード
これは二段階認証を設定した後、二段階認証アプリを削除してしまったりメールアドレスにアクセスできなくなってしまった場合に使用する認証方法です。
こちらは使い捨てのログインコードを使ってログインする仕組みで、万が一のときの保険として使えます。
Two Factorを利用する際は何らかの二段階認証方法と一緒にバックアップ検証コードも有効も生成して有効化しておきましょう。
バックアップ検証コードを有効化しておくことで、二段階認証アプリを誤って削除してしまってログインできなくなった場合でも、バックアップ検証コードを使ってログインして二段階認証設定を解除・再設定できます。
不正ログイン対策は怠らないように
単純なパスワードを使用している場合など、パスワードが脆弱な状態だと簡単にパスワードを特定されて不正ログインされてしまいます。
ですので不正ログインを防ぐセキュリティの一環で二段階認証を導入すると良いでしょう。二段階認証を導入した場合、自分が覚えやすいようにシンプルかつ簡単に特定できるパスワード設定しても、二段階認証コードを特定することは現実的ではないくらい難しいため、不正ログインリスクを一気に下げることができます。
無料でできるセキュリティ対策の一つですので、特に何も対策していないという方はせめて二段階認証ぐらいは有効化しておきましょう。