みわさんWordPressって乗っ取りに遭いやすいって聞いて使うのが怖いです…
世界中で使われているWordPress(ワードプレス)。
ブログやウェブサイト作成に欠かせないものですが、一方で悪意のある第三者に狙われやすいという危険性もあるのも事実です。
せっかく育てたブログやサイトを、乗っ取られたり改ざんされたりしてはたまりませんよね。心がぼっきり折れちゃいます…!
「WordPressは乗っ取りに遭いやすいから使えない。」
そんな悩みを以前聞いたことがあって、もしそれでWordPressを使うことを躊躇しているならもったいない。
無料で安心して使えるセキュリティプラグインがあるんです。
今回はWordPressログイン時に2段階認証することで、アカウント乗っ取りを防ぐ最後の砦になるものをご紹介します。
設定も簡単にできるので、説明にそってやればOKですよ!
ぜひ最後までご覧ください♪
ゆずここの記事はこんな人におすすめ!
安心してWordPressを使いたい
どんなセキュリティ系のプラグインがあるか知りたい
使用しているパスワードに不安がある
「Two Factor」の設定方法
「Two Factor」でログインできない時の方法
2段階認証とは?
2段階認証とは、不正なログインを防ぐ目的で、ログイン認証を2段階で行う認証方式のことです。
例えば、WordPressで管理画面にログインする時、管理者ユーザーの「ID・パスワード」を入力して認証します。これで1段階の認証。
さらに認証アプリやセキュリティ コードや秘密の質問などでの追加認証を入力する認証を、もう1段階増やします。
これで認証が2段階になり、セキュリティを更に高め不正なログインを防ぐのに効果があります。
2段階認証って必要?
まず、かなり複雑なパスワードを設定することで、ほとんどの場合問題は少ないです。
でも、毎回違った「かなり複雑なパスワードを作る」って面倒…だから同じパスワードを使いまわしてる人って実はすごく多いんですよね。
パスワードの使いまわしをすると、一度どこかでパスワードが漏れると芋づる式にいろんなサイトの個人情報が抜かれたりなりすましにあって、被害に遭う可能性がめちゃくちゃ上がるんです!
とはいえ、今更パスワードを全部変えるのも現実的でないという人もいらっしゃると思います。
そんな時に、パスワードが最悪突破されたり漏洩したりしても、この2段階認証が最後の砦になってログインを防いでくれるわけなんですね。
こちらご覧ください☟
私のサイトですら、知らぬ間にこんなにパスワード攻撃を受けているんですよ…!(驚愕)
今回ご紹介するプラグイン「Two-Factor」のおかげで、今日も安心して記事執筆できています。
パスワード管理に自信がない人や心配性な人(私)は、WordPressに限らず、Amazonや楽天、スマホなどもぜひ2段階認証を設定しておきましょう。
WordPressにはたくさんのセキュリティ対策プラグインがあるので、こちらもご参考ください☟(他サイトに飛びます)
プラグイン「Two-Factor」とは?
プラグイン「Two-Factor」は、WordPressのログイン画面に2段階認証を追加するプラグインです。
WordPressにIDとパスワードでログインしたあとに、さらに追加認証を求められます。
「Two-Factor」は複数の認証方式があります。
認証アプリで認証コードを生成する
メールで認証コードを受け取る
秘密鍵という物理的なセキュリティーキーを用いて認証
使い捨ての認証コードを使う
おすすめは、これらのうち2つを組み合わせて使う方法です。
ゆずこ認証アプリとメールの2つが設定が簡単なのでこちらを今回ご紹介します♪
「Two-Factor」を使うには
(準備編)アプリ「Google Authenticator」をスマホに入れる
2段階認証でワンタイムパスワードを利用して認証する方法では、Google Authenticator(グーグルオーセンティケーター)という認証アプリを使います。
スマートフォンまたはタブレット端末が必要になります。お手元にご用意下さい。
| iPhone iPad | 「App Store」の検索から「Google Authenticator」または 「Google認証システム」のキーワードでiOSアプリからインストール |
|---|---|
| Android | 「Google Play」の検索から「Google Authenticator」または 「Google認証システム」のキーワードでAndroidアプリからインストール |
インストールできると、こちらのアイコンが画面に表示されます☟
この認証アプリをタップして、お使いのグーグルアカウントと紐づけておきます。
①プラグインをインストールし有効化する
認証アプリをスマホ(もしくはタブレット)にいれたら、次にWordPressにプラグイン「Two-Factor」を入れていきます。
WordPressの管理画面にログインし、メニューから「プラグイン」→「新規追加」と進んでください。
キーワードに「two factor」と入力すると、「Two-Factor」 という名のプラグインがでてきます。
「今すぐインストール」をクリックします。
インストールが完了したら「有効化」をクリックし、プラグインを有効化します。
ゆずこここまで来たら残りはあと3分ほどで終わりますよ~!
②2段階認証を設定する
WordPress管理画面 > ユーザー > プロフィールの順にクリックします。
ゆずこ認証アプリとメールの2つが設定が簡単なのでこちらを今回ご紹介します♪
プロフィールのページの下に進んでいくと、「Two Factor設定」がでてきます。
有効の列は「メール」と「Time Based One-Time Password (TOTP)」をクリック。
メインの列は「Time Based One-Time Password (TOTP)」をクリックします。
次にスマホに入れたアプリ「Google Authenticator」をタップして、
「+」をタップします。
「QRコードをスキャン」をタップし、WordPressの画面(「Two-Factor設定」の部分)に表示されたQRコードをスマホカメラで読み取ります。
上の写真だと「みほん」のところです。
認証アプリで「認証コード」が作成されるので、それをこの管理画面の「認証コード」に入力し、「送信する」をクリックします。
ゆずこ表示される認証コードの有効期限は数秒間しかない!ので素早く認証コードを入力してくださいね☺
WP管理画面にログインするときに、この認証アプリが生成したワンタイムパスワードをその都度利用します。
「Time Based One-Time Password (TOTP)」の下に「秘密鍵を設定し、登録します」と表示されていればOK。
最後にこのページを一番下までスクロールして「プロフィールを更新」をクリックします。(ここ大事!)
これで「ワンタイムパスワード」もしくは「メール」による2段階認証の設定は完了です。
お疲れさまでした。
みわさん安心感がすごい増しました…
この設定後のログインはどうする?
今後のログインでは、通常の「ID・パスワード」を入力する認証画面の次に、2段階目の認証画面が表示されます。
認証コードの入力が求められたら、スマホアプリのGoogle Authenticatorをタップして、表示された「ワンタイムパスワード」を入力して認証して下さいね。
認証アプリが使えない時はどうするの?
ここで使えるのが先ほど設定した「メール」での認証方法です。
認証コードを求められた際に、下にある「メール」をクリックしてください。
するとWordPressに設定されたアドレスにメールが送られます。
「〇〇サイトのログイン確認コード」という件名でメールが届くので、本文にかかれた数字8桁を、先ほどの認証コード欄に入力するとログインできるようになります。
ほかの方法について補足情報
このプラグイン「Two Facter」にはほかにも、
秘密鍵という物理的なセキュリティーキーを用いて認証
使い捨ての認証コードを使う
という方法があります。
秘密鍵という物理的なセキュリティーキーを用いて認証
「秘密鍵という物理的なセキュリティーキーを用いて認証」は、設定がやや複雑で全く初心者には向きません。
この記事では説明を省略しています。
詳しい情報を知りたい方は、下記のGoogleの公式情報をご覧下さい。
使い捨ての認証コードを使う
使い捨ての認証コードを使う方法もあります。
1回10個の認証コードが発行されます。使えるのは1コード1回です。
生成方法はこちら☟
「検証コードを生成」をクリックします。
バックアップ検証コードが10個表示されます。
これらのバックアップ検証コードをメモやスクリーンショットで保存する、もしくは「ダウンロードコード」をクリックして、テキストファイルをダウンロードしPCに保存します。
設定が完了したら、Two-factor設定にある「バックアップ検証コード」にある「有効」にチェックを入れ、「プロフィールを更新」をクリックしてください。
ゆずこワンタイムパスワードとメール認証だけでも十分ですが、さらに保険を掛けたい方はこちらも設定してみてくださいね!
設定メールが届かない、アプリも使えない時は?
管理画面でログインできない時に、
設定した認証メールが届かない
さらにそんな非常事態が起こることがあります(経験者)。
この場合、レンタルサーバー側から「Two-Factor」の使用を停止することで、IDとパスワードでログインできるようになります。
設定方法はこちらから☟
「Two-Factor」プラグインが無効化されたことで、ログイン時の2段階認証は動作しなくなります。
IDとパスワードのみでログインできますので、あとは適切な処置を行ってください。
まとめ
この記事では、WordPressのログイン画面に2段階認証を追加できるプラグイン「Two-Factor」の設定方法をお伝えしました。
プラグイン 「Two-Factor」の認証方式は「メール」「ワンタイムパスワード」「セキュリティキー」「認証キー(使い捨て)」の4種類から選択できます。
みわさん使っているパスワードだけじゃ弱い気がしてたのでこれで一安心です!
ゆずここのプラグインはログイン最後の砦です‼
確実に設定されると、より安心してWordPressを使えるようになりますよ。
「WordPressのセキュリティが不安」そんな方の不安が解消できたらうれしいです♪(WordPressこわくないよ~!)
