ラッコサーバー

ラッコサーバーでサイトを管理すると売却時の価値を高く保てます!
サイト/ドメインの売却をシームレスに実現します。

ラッコサーバー詳細
オンライン事業売買
WordPressサイト売買
ドメイン売買
データを読み込み中...
データを読み込み中...
データを読み込み中...

【WordPress】二段階認証を無料で設定してログインを保護する方法(Two Factor)

WordPressの管理画面を、パスワードだけじゃなくて、もっとしっかり守りたい!

WordPressの管理画面は、パスワードが漏えいすると誰でもログインできてしまいます。そこで、パスワードに加えて認証コードの入力を求める「二段階認証」を設定すると、ログインのセキュリティを大きく高められます。この記事では、無料プラグイン「Two Factor」を使った二段階認証の設定方法を、次の3点にわけて解説します。

  • プラグインのインストールから、自分のアカウントでの設定手順まで
  • 認証アプリ・メールコード・リカバリコードの使い分け
  • 認証でログインできなくなった場合の対処法

本記事は、WordPress 7.0+Two Factor v0.16.0の環境で動作確認しています。

ラッコサーバー

ラッコサーバーでサイトを管理すると売却時の価値を高く保てます!
サイト/ドメインの売却をシームレスに実現します。

ラッコサーバー詳細
オンライン事業売買
WordPressサイト売買
ドメイン売買
データを読み込み中...
データを読み込み中...
データを読み込み中...

二段階認証(Two-Factor)とは?導入前に知っておきたいこと

強いパスワードにはしているけど、それだけで本当に大丈夫なのかな……。もし漏れたら一発で入られちゃうよね。

二段階認証(2段階認証・多要素認証とも呼ばれます)とは、ログイン時に「パスワード」と「もう1つの認証コード」の2つの要素で本人確認する仕組みです。パスワードを知っているだけではログインできなくなるため、セキュリティが大きく向上します。

パスワードは、使い回しやフィッシング詐欺などで漏えいするリスクが常にあります。仮にパスワードが第三者に知られても、二段階認証を設定していれば、手元のスマホに表示される認証コードがなければログインできません。これが、二段階認証が不正ログイン対策として有効な理由です。

今回使う「Two Factor」は、WordPress.orgで配布されている無料プラグインです。Two Factor(WordPress.org公式)のページによると、有効インストール数は10万以上、評価は96%(210件のレビュー)と、多くのサイトで利用されている実績があります。導入するプラグインを選ぶうえで、こうした利用実績は安心材料になります。

Two Factorの対応要件
公式ページによると、動作にはWordPress 6.8以上・PHP 7.2以上が必要です。認証方式は、認証アプリ(TOTP)・メールコード・リカバリコードに対応しています。SMS認証には対応していません

STEP1:プラグイン「Two Factor」をインストール・有効化する

WordPress管理画面の左メニューから「プラグイン」→「プラグインを追加」を開き、検索ボックスに「Two Factor」と入力します。同名・類似名のプラグインが複数表示されるので、有効インストール数10万以上・評価の高いものを選んでください。目的のプラグインが見つかったら「今すぐインストール」→「有効化」をクリックすれば準備完了です。

プラグイン検索結果画面—「Two-Factor」のカード
▲ 「Two-Factor」を検索した結果。インストール数・評価が確認できる

STEP2:自分のアカウントで二段階認証を設定する

プラグインを有効化したら、次は自分のユーザーアカウントに二段階認証を設定します。設定はユーザーごとに行う仕組みのため、まずは今ログインしている自分のアカウントから進めましょう。

1. 「ユーザー」→「プロフィール」を開く

二段階認証の個人設定は、プロフィール画面から行います。左メニューの「ユーザー」→「プロフィール」をクリックして、自分のプロフィール編集画面を開いてください。

設定画面—左メニュー「ユーザー」→「プロフィール」
▲ 左メニューの「ユーザー」→「プロフィール」をクリックする

2. 「2要素認証の設定」で認証方法を選ぶ

プロフィール画面を下にスクロールすると、「2要素認証の設定」というセクションが追加されています。ここに、利用できる認証方法(認証アプリ・リカバリコード・メール)が一覧で表示されます。

まずは利用したい認証方法にチェックを入れます。「認証アプリを有効化」と「リカバリコードを有効化」には「おすすめ」のラベルが付いているので、この2つを有効にしておくと安心です。

プロフィール画面—「2要素認証の設定」の認証方法一覧
▲ 「2要素認証の設定」セクションで、認証アプリ・リカバリコード・メールの中から使いたい方法にチェックを入れる

3. 認証アプリ(TOTP)でQRコードを読み取る

認証アプリを使うには、スマホのアプリとWordPressを紐づける必要があります。「認証アプリを有効化」にチェックを入れると、QRコードが表示されます。

「Google 認証システム」や「Microsoft Authenticator」などの認証アプリを起動し、アカウント追加からこのQRコードを読み取ってください。読み取ると、アプリ側に6桁の認証コードが表示されるようになります。表示された6桁のコードを「認証コード」欄に入力し、「検証」ボタンをクリックして登録を完了します。

プロフィール画面—認証アプリのQRコードと認証コード入力欄(QRコード・シークレットキーはぼかし加工済み)
▲ QRコードをスキャンし、認証アプリに表示された6桁のコードを入力して「検証」をクリックする

4. リカバリコードを発行して保存する

認証に使うスマホを紛失したときに備えて、リカバリコードを発行しておきます。「リカバリコードを有効化」にチェックを入れ、「新しいリカバリコードを生成」ボタンをクリックすると、一度きり使える複数のコードが表示されます。

これらのコードは、画面を離れると二度と表示されません。パスワード管理ツールや印刷など、安全な場所に必ず控えておきましょう。

リカバリコードは、スマホが手元にないときの「予備の鍵」です。ここで保存を忘れると、いざというときにログインできなくなるので、発行したら必ず保管しておきましょう。
プロフィール画面—発行されたリカバリコード一覧
▲ 「新しいリカバリコードを生成」をクリックすると、一度きり使えるコードが10件表示される

STEP3:管理者がサイト全体の二段階認証ルールを設定する

複数人でサイトを管理している場合は、管理者がサイト全体の二段階認証ルールをまとめて管理できます。左メニューの「設定」→「Two-Factor」をクリックすると、専用の管理ページが開きます。

このページでは、どの認証方法をサイト全体で有効にするかなどを設定できます。ここで、ユーザー全体に対する二段階認証の運用方針を管理者がコントロールできる仕組みです。

二段階認証を使ってログインする方法

二段階認証を設定すると、次回以降のログインの流れが変わります。まず、いつも通りログイン画面でユーザー名(またはメールアドレス)とパスワードを入力してログインします。

すると、通常のダッシュボードには進まず、認証コードの入力画面が表示されます。ここで、認証アプリに表示された6桁のコード、またはメールで届いたコードを入力すると、管理画面にログインできます。これが、パスワードと認証コードの2つの要素で本人確認する二段階認証のログインの流れです。

ログイン画面—パスワード入力後に表示される認証コード入力画面
▲ パスワード入力後に表示される認証コード入力画面。「リカバリコードを使用」への切り替えもできる

二段階認証でログインできなくなったときの対処法

スマホの紛失や機種変更などで認証コードが確認できなくなると、ログインできなくなることがあります。そんなときの対処法を、状況別に紹介します。

リカバリコードで復旧する

認証コードの入力画面に表示されている「リカバリコードを使用」のリンクをクリックし、STEP2で保存しておいたコードを入力すればログインできます。リカバリコードは、事前に発行・保存しておくことが復旧のカギになります。

管理者が他のユーザーをリセットする

自分がログインできず、他に管理者がいる場合は、その管理者に依頼します。管理者は「ユーザー」一覧から対象ユーザーのプロフィールを開き、二段階認証の設定をリセット(解除)できます。リセット後、対象ユーザーは改めて認証を設定し直します。

リカバリコードも認証アプリも使えない場合

自分が唯一の管理者で、認証アプリもリカバリコードも失った場合は、通常の手段でのログインが難しくなります。ログイン自体でお困りの場合は、WordPressのログイン方法・ログインできない場合の対処法もあわせて確認してください。

FIDO U2Fをお使いだった方へ
バージョン0.16.0でレガシーのFIDO U2Fプロバイダーのサポートが削除されました。パスキーやセキュリティキー(WebAuthn)を使いたい場合は、別プラグイン「Two-Factor Provider: WebAuthn」を追加でインストールする必要があります。
💡 ログインの入り口だけでなく、サーバー全体も守ろう
二段階認証はWordPressの「ログインの入り口」を守る対策ですが、サイト全体を守るにはサーバー側の備えも欠かせません。
ラッコサーバーでは、無料独自SSLやWAF(Webアプリケーションファイアウォール)、自動バックアップといった機能が標準で用意されており、万が一の際もサイトを復旧しやすい環境が整っています。
月額330円〜、10日間の無料お試し期間もあるので、この機会にサーバー環境ごと見直してみるのもおすすめです。

よくある質問

WordPressで二段階認証を設定するにはどうすればいいですか?

無料プラグイン「Two Factor」を使うのが手軽です。まずSTEP1:プラグイン「Two Factor」をインストール・有効化するでプラグインを導入し、次にSTEP2:自分のアカウントで二段階認証を設定するで認証方法を選んで設定します。認証アプリ(TOTP)とリカバリコードの併用がおすすめです。

二段階認証(多要素認証)を導入するとどんなメリットがありますか?

最大のメリットは、パスワードが漏えいしても不正ログインを防ぎやすくなることです。ログインにパスワードと認証コードの2つの要素が必要になるため、パスワードだけを知られても第三者はログインできません。WordPress管理画面のセキュリティを手軽に強化できる方法です。

二段階認証(多要素認証)にはどんなデメリットがありますか?

デメリットは、ログインのたびに認証コードを入力する一手間が増える点と、認証アプリを入れたスマホを紛失・機種変更した際に再設定の手間がかかる点です。ただし、事前にリカバリコードを発行しておけば、スマホが使えないときでもログインできるため影響を軽減できます。万一の際は二段階認証でログインできなくなったときの対処法を参照してください。

認証コードのメール(メールコード)が届かない場合はどうすればいいですか?

まず迷惑メールフォルダを確認してください。届かない場合は、WordPressからのメール送信自体が正しく機能していない可能性があります。その場合は、認証アプリ(TOTP)やリカバリコードなど、別の認証方法での復旧を検討しましょう。日常的にメール送信が不安定なサイトでは、認証アプリを主に使う設定をおすすめします。

SMS認証は使えますか?

いいえ、使えません。公式ドキュメントによると、「Two Factor」プラグインが提供する認証方式は、認証アプリ(TOTP)・メールコード・リカバリコードで、SMS(ショートメッセージ)による認証には対応していません。スマホを使った認証を希望する場合は、認証アプリ(TOTP)を利用してください。

リカバリコードとは何ですか?なくすとどうなりますか?

リカバリコードとは、認証アプリなどが使えないときに代わりに使える、一度きりの予備コードです。事前に発行して安全な場所に保管しておきます。もしリカバリコードも認証アプリも失うと、自力ではログインできなくなり、管理者にアカウントのリセットを依頼する必要があります。詳しい復旧手順は二段階認証でログインできなくなったときの対処法をご覧ください。

二段階認証でログインできなくなった場合はどうすればいいですか?

まずはリカバリコードでのログインを試してください。それも使えない場合は、他の管理者に依頼して自分のアカウントの二段階認証をリセットしてもらいます。具体的な手順は二段階認証でログインできなくなったときの対処法で解説しています。

まとめ

無料プラグイン「Two Factor」を使えば、WordPressの管理画面に二段階認証を追加し、パスワード漏えいによる不正ログインのリスクを大きく減らせます。導入時は、認証アプリ(TOTP)とリカバリコードを併用しておくのが安心です。

まずは自分のアカウントから、二段階認証によるログイン保護を始めてみてください。