WordPressに2段階認証を導入する

こんにちは、masakiです。

最近なにかとよく使われる、2段階認証をwordpressで導入してみます。
今回もWordPressのセキュリティーを向上させるのが目的です。

以前の記事、「reCAPTCHAでWordPressをスパムや不正ログインから保護する。」と合わせて導入すると、より高い効果が得られると思います。

スポンサーリンク

2段階認証とは

通常、Webサービスの認証にはID(email等)とパスワードが使われます。

しかし、よく考えてみるとIDは基本的に誰でも知ることができます。
何故なら、大抵のWebサービスでは、ユーザーがユニークなIDを持ち、そのIDは他の全てのユーザーに公開されています(例えばTwitterならば、@xxxxxのように)。

またパスワードも推測可能な脆弱なものを設定していたり、ログイン画面へプログラムでブルートフォースアタックなどが行われ、IDとパスワードの認証が突破される危険性もあります。

2段階認証とは、IDとパスワードに加えて、もうひとつ別の認証手段を提供します。

一般的なのが、携帯のショートメールにコードが送られてくるタイプの認証です。
IDとパスワードで認証したユーザーは、携帯に送られてきたコードを入力して、認証を完了します。

もうひとつ有名なのが、スマホに認証用のアプリをいれて、そのアプリが表示する数桁の文字列を入力するタイプです。
この方式でメジャーなのが「Google Authenticator」というアプリです。
今回はこれを利用します。

Google Authenticatorをインストールする

まずはこのアプリを以下よりダウンロードし、スマートフォンにインストールします。
インストール後の設定は後で行います。

iOS版
Google Authenticator – Google LLC

Android版
Google認証システム

次にWordPressにプラグインをインストールします。

プラグインをWordPressにインストールする

プラグインのインストール画面から以下のプラグインをインストールしてください。

インストールした後、WordPressの左メニューから「ユーザー」→「ユーザー一覧」から、2段階認証をさせたいユーザーを選択します。とりあえず、自分で良いでしょう。

ユーザーの設定画面を下にスクロールすると、以下の設定項目が追加されているのがわかります。
「Active」にチェックを入れてください。

その後、スマートフォンにインストールしたGoogle Authenticatorのアプリケーションを起動してください。
右上の「+」ボタンをクリックし、WordPressのユーザー設定画面で表示されているQRコードを読み取ります。

QRコードを読み取ると、上記の赤枠の様に、WordPress用の認証コードが表示されます。

以上で設定は完了です。

使ってみよう

WordPressのログイン画面に行くと、「Google Authenticator code」というフォームが追加されています。

ここにスマホにインストールした認証アプリに表示されるコードを入力することでログインできます。

これで完了です。とても簡単にセキュリティーを向上させることができるので、是非導入してみましょう。

スポンサーリンク