★★★ たった "1日" でできるWordPressブログの作り方講座 ★★★ はじめてみる

WordPressにも二段階認証を!Google Authenticatorの導入手順

WordPressに不正ログインされないようにセキュリティ対策の重要性を訴えているイメージ画像

WordPressは広く使われている分、セキュリティ的に弱いところを突かれて不正ログインなどの被害に遭いやすいです。

なので不正ログインを他人事と思わずに自分もいつ被害に遭うかもしれない、という気持ちでセキュリティ対策はしておかなくてはなりません。

ではセキュリティを高めるためにいったい何をすればいいのか・・・

その答えの1つがログイン画面で二段階認証を有効にすることです。

ここでは Google Authenticator ( miniOrangeプラグイン ) を使って二段階認証を設定する手順について紹介していきます。

二段階認証ってそもそも何?導入するメリットとは

二段階認証は最近よく聞くようになった言葉ですよね。

これはログイン時にパスワードに加えて、さらに他の認証情報を求めて2段階の認証をさせることです。

例えば今までの方法だと、次みたいに1段階認証で本人確認できてしまいました。

  1. IDとパスワードを入力
  2. 正しければログイン成功

このように、IDとパスワードだけなのが今までの問題点。

そこで二段階認証では、もう1つ本人確認の作業を増やしています。

その認証作業の例をいくつか挙げるとすると・・・

  • 登録したメール宛てに届いた認証コードを入力
  • 音声通話でパスワードを受け取り入力
  • 認証アプリを使って受け取った認証コード入力

・・・などなど

メールとか電話番号とかスマホの認証アプリというのは本人でしか使えないので、誰かがなりすましでログインできる可能性がかなり低くなります。

WordPressでも次に紹介するminiOrangeプラグインを導入すれば、管理画面でもこの二段階認証が利用可能です。

例えば管理画面でパスワードに加えて、次のようにスマホの認証アプリから送られてくるコードを入力しなければログインができない仕組みになります。

miniOrange導入後にログイン画面での認証コード入力画面

認証アプリで認証コードを得るにはプラグインから自分のスマホを登録しないといけないので、赤の他人は認証コードを得ることすら不可能です。

しかも認証コードは30秒~1分ごとに毎回変わるので推測することも不可能になります。

つまり二段階認証をしておくことで次の メリット があるんです。

  • 本人確認の作業が増える
  • 認証コードは自分以外には分からない
  • 認証コードを推測することも不可能

今までのIDとパスワードを入力するだけに比べてセキュリティが劇的に高くなることが分かると思います。

WP管理画面での二段階認証設定手順

二段階認証の設定手順を簡単にまとめると次の通り

  1. miniOrangeプラグインのインストール
  2. miniOrangeにサインアップ
  3. Google Authenticatorアプリの設定

ではこの手順について順番に説明していきます。手順通りにやれば数分くらいで終わるのでパパッと設定してしまいましょう。

1.miniOrangeプラグインのインストール

まずminiOrangeプラグインをWordPressにインストール・有効化します。

その手順は次の通り

まずWordPressメニューから「プラグイン」ー>「新規追加」を選択

新規追加画面が開いたらプラグインの検索欄に「google authenticator」と入力して検索

しばらくすると検索結果の一番上に次のようなプラグインが表示されるので「今すぐインストール」ボタンを押してインストールします。

miniOrangeプラグインのインストール

ちなみにこのプラグインは以下のページから直接ダウンロードも可能

https://ja.wordpress.org/plugins/miniorange-2-factor-authentication/

インストールが終わると「今すぐインストール」ボタンが「有効化」ボタンに変わるので必ずそれを押して有効化しましょう。

これでプラグインのインストール・有効化は完了です。

2.miniOrangeにサインアップ

プラグインから二段階認証を設定するにはminiOrangeアカウントが必要です。

なので最初はアカウントを作成してminiOrangeにサインアップしましょう。

その手順は簡単で次の通り

まずWordPressメニューから「miniOrange 2-Factor」を選択

すると次の画面が開くのでオレンジ色で囲った枠にメールアドレスやパスワードなど必要な情報を入力して「Create Account」ボタンを押しましょう。

miniOrangeアカウントを登録

*注意* : 登録したメールアドレスとパスワードは二段階認証の再設定時にも必要になるので必ず覚えておくかどこかにメモしておいてください。

しばらくすると登録したメアドに「123456」のような6桁のワンタイムパスワードが書かれたメールが届きます。

あとはこのワンタイムパスワードをプラグイン画面から入力して「Validate OTP」ボタンをクリック

認証に成功すると次のようなダイアログが現れます。

ここまでがアカウントのサインアップ手順です。

では次にこのダイアログで二段階認証の設定をしていきましょう。

3.Google Authenticatorアプリから二段階認証設定

miniOrangeでは次の3つの方法での二段階認証に対応しています。

  • Google Authenticatorアプリで認証
  • miniOrange開発のアプリで認証
  • ログイン時に秘密の質問に答えて認証

ここでは一般的に使われているGoogle Authenticatorアプリを使って管理画面の二段階認証を設定していきます。

その手順は次の通り

ではまず先ほど開いたダイアログの「Next」ボタンを押して先に進みましょう。

次に進むと、どの認証法を使うか聞かれるので「Google Authenticator」を選んでそのまま放置

しばらく待つと次のような画面に自動的に進みます。

ではまずこの画面左にある「Select Phone-Type」から認証に使うスマホの種類を選んでください。

ちなみにここではAndroidを選びます。

そうしたら自分のスマホにGoogle Authenticatorアプリをインストールしましょう。

ちなみにAndroid・iPhoneそれぞれのダウンロードリンクはこちら

Android版https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ja

iPhone版https://itunes.apple.com/jp/app/google-authenticator/id388497605?mt=8

インストールが終わったらダイアログ真ん中に表示されているQRコードをスマホのバーコードリーダなどで読み取りしてください。

上の画像のオレンジ色の枠で囲ったところにあるのがQRコードです。

このQRコードを読み取るとGoogle Authenticatorアプリが起動し、miniOrangeプラグインのキーが保存されます。

キーが保存されていないとアプリを二段階認証に使えないので必ずQRコードの読み取りは忘れずに

Google Authenticatorアプリでは認証コードは6桁の数字で表示されます。

この認証コードが管理画面でのログインに必要になることを覚えておきましょう。

ちなみにこのコードはアプリにもよりますが30秒~1分程度で別のものに切り替わります

ではminiOrangeプラグインの設定ダイアログに戻って今表示されている認証コードを入力して「Verify and Save」ボタンを押してください。

そして次のようなメッセージが表示されれば二段階認証の設定は完了です。

ちなみに「Next」ボタンを押して次の画面に進むと二段階認証のテストができます。

それが不要なら「Skip Test」を押してダイアログを閉じてしまってOKです。

少し長かったですが以上で二段階認証を使ってログインできるようになりました。

では次は実際に二段階認証でログインしてみましょう。

二段階認証でログインしてみよう

まず今WordPressにログインしているならログアウトしましょう。

ログアウトしたら今までと同じように次のログイン画面が出てきます。

ここはもう普通にユーザー名とパスワードを入力して「ログイン」ボタンを押すだけです。

二段階認証が今までと違うのはログインボタンを押すと次のような認証コード入力画面が出てくること

miniOrangeプラグインの認証コード入力画面

この画面でやることはGoogle Authenticatorアプリに表示されているコードを入力して「Validate」ボタンを押すだけです。

認証コードを正しく入力すればいつも通りにダッシュボードが表示されます。

認証コードを確認して入力する、たったそれだけの手間が増えただけです。

でもこれだけの手間でセキュリティが今までと比べものにならないくらい安全にすることが可能です。是非お試しを!

WordPressのセキュリティをさらに高めるには

以上がWordPressでの二段階認証の導入手順

導入しておくだけでWordPressのセキュリティがかなり高くなるはずです。

ですが二段階認証に加えて次の対策もしておけばセキュリティ向上に効果があります。

  • パスワードを使いまわさない
  • パスワードを強力なものにする
  • SiteGuard WP Pluginを使う
  • プラグインをこまめに更新する

詳しくは次の記事でまとめたので是非ご覧ください。

WordPressは多くのブログで使われているため、そのセキュリティをついて不正ログインしようとする攻撃者が多く絶対に対策が必要です。ここではその不正ログインを防ぐために有効な対策を5つ紹介します。

ちょっとした心掛けや、プラグインの導入でセキュリティは誰でも簡単に高められます。

なので面倒くさがらずに早めにWordPressの不正ログイン対策はしておきましょう。

まとめ

以上、WordPressに二段階認証を設定する方法について紹介しました。

自分の情報発信の場をハッカーや悪意のある人間に乗っ取られないよう、二段階認証も含めてセキュリティ対策はバッチリしておきたいですね。

The following two tabs change content below.

フク郎

昔はプログラミングに熱中していたが、ブログとWordPressに興味を持ち始め今はサイト・ブログ作りが生きがい。自分の「好き」をブログに変えたい、情報発信したい人に役立つWordPress術・サイト構築術を発信中。一日一歩楽しんでブログ構築できるように読みやすい&楽しい記事作りを心がけています。Twitterアカウントはこちら ⇒ フク郎@Fukuro-Press