ここ最近、2段階認証というフレーズが世間を賑わせいたこともあって、WordPressでの2段階認証について紹介しておこうと思い、記事にしました。
今回紹介させていただくのは、Google Authenticatorというプラグインを使った、WordPressでの2段階認証の方法についてです。
目次
Google Authenticatorプラグインについて
Google Authenticatorというスマートフォンアプリと、WordPressのアカウントを連携するためのプラグインで、管理画面から2段階認証を有効にしたり、2段階認証アプリ側の設定に必要なキーの発行などができます。
Google Authenticatorによる2段階認証の原理について
まず、Google Authenticatorによる2段階認証をするためには、スマートフォンとGoogle Authenticatorというアプリが必要です。
WordPressのアカウントをGoogle Authenticatorのスマートフォンアプリ側に登録することで、管理画面へは、アプリ側に表示された6桁のコード(数字)を入れないとのログインできないようにするという仕組みです。
この辺は、Google Authenticatorのアプリの使い方の記事で、Googleアカウントにログインする方法を解説していますが、基本的には同じ原理ですね。
なぜWordPressで2段階認証が必要なのか?
ブルートフォースアタックなど、WordPressは常に外部から攻撃されているためです。
セキュリティ系のプラグインを入れてログインログを見ると、いろんなIPアドレスでログインを試みようとしていることが分かると思います。ひどい時には1時間に数十回もそのような外部からのアクセスがある・・・
特に、簡単に推測されやすいユーザー名やパスワードだと、総当たり攻撃の結果、ログインを許してしまう可能性もあるので、そのリスクを回避するために2段階認証で最後の砦を設けてあげると良いです。
Google Authenticatorプラグインの使い方
さて、ここからはGoogle Authenticatorプラグインの使い方を紹介していきます。
- Google Authenticatorプラグインのインストール
- Google Authenticatorプラグインの設定(キーの発行など)
- スマートフォンのGoogle Authenticatorアプリをインストール
- Google AuthenticatorのスマホアプリにWordPtessアカウントを追加
- WordPressへのログイン時に6桁の数字を入力
Google Authenticatorプラグインのインストール
管理画面左メニューの「プラグイン」>「新規追加」と進みます。
Google Authenticatorを検索してインストールします。
プラグインを有効化したら、Google Authenticatorの設定へ進みましょう。
スマートフォンのGoogle Authenticatorプラグインの設定
管理画面左メニューの「ユーザー」>「あなたのプロフィール」と進みます。
プロフィールページ内にGoogle Authenticator Settingsが追加されてるので、以下の①〜④の項目を設定します。
①Active
Activeにチェックを入れると、Google Authenticatorの2段階認証が有効になります。
②Relaxed mode
Relaxed modeにチェックを入れることで、ワンタイムパスワードの制限時間を4分延長することができます。ここはデフォルトのままで良いので、チェックは外しておきます。
③Description
2段階認証アプリ側に表示されるアカウントの説明文です。
④Secret
Google Authenticatorアプリに入力するためのシークレットキーです。
⑤Show / Hide QR code
Show / Hide QR codeボタンをクリックしてQRコードを表示(あるいは非表示)させることができます。あとで説明しますが、Google Authenticatorアプリのカメラで読み取ることで、Secretキーの手入力をせずにアプリ側にアカウントを追加登録することができます。
これでプラグイン側の設定は完了です。次はスマートフォン側の設定に移ります。
スマートフォンのGoogle Authenticatorアプリをインストール
今回はiOSでの手順紹介です。
以下のURLからGoogle Authenticatorのスマートフォンアプリをインストールします。
Google AuthenticatorのスマホアプリにWordPtessアカウントを追加
Google Authenticatorアプリを起動し、画面上の「+アイコン」をタップします。
「バーコードをスキャン」か「手動で入力」のどちらかでアカウントの追加ができます。
以下、手動で入力する手順で説明します。
手動で入力する場合、①②のフィールドにアカウントやキーを入力します。
①アカウント
WordPressユーザーのメールアドレスを入力します。
②キー
管理画面のプロフィールページに表示された「Secret」のキーを入力します。
③時間ベース
そのままでOK。
アプリのトップ画面に戻り、アカウントが追加されたことを確認します。
WordPressへのログイン時に6桁の数字を入力
この状態でWordPressのログイン画面にアクセスし、Google Authenticator codeのテキストフィールドが追加されていることを確認します。
ここに、スマホのGoogle Authenticatorアプリに表示された6桁の数字を、制限時間内に入力します。
以上が、WordPressでの2段階認証の設定です。
Google Authenticatorプラグインを使う上での注意点
あとは少し補足説明と言いますか、このプラグインを使う上での注意点を見ていくことにします。
他のセキュリティ系プラグインとの併用について
ログイン試行回数やロックアウトを設定できるプラグインと共存させるとき、2段階認証アプリ側のコードを制限時間内に入力できずにログイン失敗→指定回数ログインに失敗して自分がロックアウト…になることもあります。
そうならないためにも、ログイン試行回数に幅を持たせるなどの調整が、別途必要になるかもしれません。
管理画面にログインできなくなった場合
また、どうしても認証コードが通らない(Google Authenticatorアプリでのアカウント追加がミスっている可能性あり)場合、管理画面にログインできなくなってしまうので、そんな時は以下の手順で復旧できるかどうかを試してみてください。
- FTPで一旦Google Authenticatorプラグインフォルダの名称を変更する
- その状態で、管理画面にログインする
- FTPでGoogle Authenticatorプラグインフォルダの名称を元に戻す
- 管理画面のユーザープロフィールページに進み、Google Authenticator SettingsのActiveのチェックを外して「プロフィールを更新」ボタンクリック
- Secretの再発行を行うなどして、新たに2段階認証の設定をやり直す
お金を扱う金融系のアプリを中心に、今やいろんなサービスで2段階認証は使えるようになっているので、WordPressを安全に運営していく上でも、ぜひ入れておいた方がいいプラグインです。