メールによる2段階認証ログインを行うプラグイン「Spirits and Goblins」

メールによる2段階認証ログインを行うプラグイン「Spirits and Goblins」

え??このサイトもWordPressなの?という位世界中で使われているWordPress。比較的導入も簡単、カスタマイズもしやすいツール、しかも本体や追加機能であるプラグインなども無料で使えることから人気のあるCMSなのですが、導入されることが多いからこそ懸念されるのがログインセキュリティ。

裏を返せば汎用のツールなのでログインする際のURLも簡単に判別でき、いろいろなところからユーザー名は類推できてしまう、残るセキュリティはパスワードのみというのがWordPressの泣き所でもあります。

とはいえ、たくさんリリースされているセキュリティプラグインの中にはログインURLを変更してしまうというものもあり、何等かの不具合でプラグインが機能しなくなったときにはログイン画面すら表示できない=ログインできなくなるということが起こる可能性があり、自身でもこのケースを経験していることから個人的にはおすすめしません。

とはいえ何もしないわけにはいかない・・・を解消するのが今回紹介する「Spirits and Goblins」です。

WordPressでログインセキュリティを確保するために必要なことは

  1. ユーザー名やパスワード容易に類推されないようにすること
  2. ユーザー名とパスワード以外のログインセキュリティ機能を設けること
  3. 生きたユーザーのみを残していくこと

の3つだと思います。今回紹介する「Spirits and Goblins」以外にもセキュリティ確保のためのプラグインは多数ありますので、このページの文末で紹介していきます。

Spirits and Goblins」はメールによる2段階認証機能を追加することで上記項目の2と3とを両立させるログインセキュリティプラグインです

2段階認証を行うには通常Googleの提供する「Google Authenticator」という機能を使うのですが、このプラグインは「Google Authenticator」なしで使えるところが魅力です。

2年以上前にリリースされたプラグインですが、サイトでテストしたところWordPressのバージョン4.7.1で問題なく動作しました。

【Spirits and Goblins】プラグインの基本的な機能・できること

  1. 従来のユーザー名とパスワードによる認証+メールで送信するワンタイムパスワードを入力させることでセキュリティを確保する
  2. ワンタイムパスワードをメールで送信することで、ログインの度に現在使用しているメールアドレスなのかの確認ができる
  3. 独自apiに登録することでショートメールによる認証も可能

本記事を参考にWordPressサイトへプラグインの導入を検討される方へ

WordPressは古くから無料で配布されているサイト作成ツール(CMS)で、随時改良が加えられており、さまざまなバージョンが存在します。

さらにWordPressを動かすためのプログラムであるPHP、サイトのデータを保存しておくためのデータベースについても様々なバージョンがあります。

そしてWordPress本体同様にプラグインについてもさまざまなバージョンが存在します。

本記事を参考にプラグインの導入をお考えの方は、以下に留意の上でインストールするようにしてください。

  • テスト環境での動作に基づいた紹介記事ですので、すべての環境で正常に動作するかどうかは不明です
    ※本記事の内容についてはページ内に記載しているプラグインバージョンのものになります。現在のバージョンと異なる場合、機能などが異なる場合があります。
    ※また、テスト環境、テストしたプラグインバージョン等の表示が本文内にない場合、ページタイトル下にある最終更新日当時の情報となりますので、現在のバージョンでは全く違う機能となっているかも知れません。
  • プラグインに無料版と有料版(Pro版)がある場合、特に記載がなければ無料版の情報のみを紹介しています
  • このページでプラグインを使用する際に必要なショートコードやコードなどは、コピーして使用することができますが、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。
  • プラグイン本体の動作不具合や質問などは公式サイトのフォーラムなどで行ってください(ここでは質問にお答えすることはできません)

【Spirits and Goblins】プラグインの設定画面や表示の日本語化と翻訳

このプラグインはもともと日本語翻訳ファイルが存在していたのですが、表示される文言が直訳的でしたので翻訳しなおしました。

変更した点は

ワンタイムパスワードの送信メールタイトル

【「サイト名」ワンタイムパスワード】となっていたものを【「サイト名」へログインするためのワンタイムパスワード】へ変更

ワンタイムパスワード入力画面のテキスト

【ワンタイムパスワード】となっていたものを【登録されているメールアドレス宛にお送りしたワンタイムパスワードを入力してください】へ変更

です。こうすることで、メールの件名も分かりやすくなり、何の説明文もないワンタイムパスワード入力画面について誰が見ても分かるようになったのではないかと思います。

翻訳ファイルは

からダウンロードできます(ダウンロードの方法や日本語の適用方法なども解説しています)

※ダウンロードした翻訳ファイルを適用するには「Spirits and Goblins」プラグインフォルダの「languages」フォルダにある「spirits-and-goblins-ja.po」と「spirits-and-goblins-ja.mo」へ上書きする必要があります。

また、プラグインが更新された際などに翻訳ファイルが上書きされてしまわないためには一旦「Spirits and Goblins」プラグインフォルダの「languages」フォルダにある「spirits-and-goblins-ja.po」と「spirits-and-goblins-ja.mo」を削除し、WordPressのインストールフォルダ上にある「languages」内の「plugins」フォルダへダウンロードして解凍した「spirits-and-goblins-ja.po」と「spirits-and-goblins-ja.mo」2つのファイルをアップロードしてください

翻訳することで設定が容易になり、重要な項目の設定漏れも少なくなりますから日本語化をお勧めします。

【Spirits and Goblins】プラグインのインストールと設定

インストール方法

インストールはプラグインの新規追加でプラグイン名を入力して検索してインストールするか、WordPressのプラグイン公式配布ページからダウンロード後、管理画面からアップロードインストールしてください(プラグインの公式ページは本ページ内記載のリンクをクリック、もしくは、WordPress公式サイトで検索してください)。

WordPressを使い始めて間もない方(初心者の方)は、より詳細なプラグインのインストール手順や、インストール時に起こる問題などへの対処方法をまとめた【WordPress】プラグインのインストール&追加方法とエラー対処の方法も併せてご覧ください。

ダッシュボードから「設定」→「Spirits and Goblins (魍魎)」を開いて設定します

設定項目は

  1. ワンタイムパスワードの長さ
  2. ワンタイムパスワードの有効期間 (秒)
  3. 送信オプション

です。特に変更することはないと思います。

また、送信オプションとしてショートメールでの送信もできるようですが、apiの登録などが面倒ですし、何よりユーザー情報として携帯電話番号を入手する必要がありますからあまり実用としてはおすすめしません。

せっかくGoogle Authenticatorを使わずに2段階認証を実装できるのですから、煩わしい設定はパスしましょう

【Spirits and Goblins】プラグインの基本的な使い方

  1. 通常のログイン画面上でいつも通りユーザー名とパスワードでログインする
  2. 1と同時にユーザー登録されているメールアドレス宛にワンタイムパスワードが送信される
メールによる2段階認証ログインを行うプラグイン「Spirits and Goblins」|Knowledge Base

ちなみに実際に送信されたメールはこちら

下の画面へ受信したメールに書かれているワンタイムパスワードをコピペ

メールによる2段階認証ログインを行うプラグイン「Spirits and Goblins」|Knowledge Base

メールに書かれているパスワードを単純にコピペする

ログイン成功!!

【Spirits and Goblins】プラグインの便利な使い方・カスタマイズ方法など

より便利に使うカスタマイズ技やテストサイトで使用した結果や感想、WordPressのプラグイン公式配布ページには書かれていない事柄などを紹介します。

管理者がログインできなくなってしまったときは

ちょっと意地悪に、管理者自体が何らかの理由でワンタイムパスワードのメールを受け取れなくなってしまったときにはどうしたらいいか?というのをテストしました。いくらセキュリティが高いと言えど、どうにもならなくなったら困りますからね。

こんなときは、プラグインに不具合が発生したときのお決まり作業
「FTPでプラグインフォルダを削除してしまう」
で解消できました。

ユーザーごとにワンタイムパスワードを使うか否かを選択できたらもっといいのに・・・と私的に思いましたが、ワンタイムパスワードを使わないようにしたいのは管理者で、この管理者こそ不正ログインされたら困るわけですから、このままでいいんですね、きっと。

その他ログインセキュリティをアップする方法いろいろ

こちらにWordPressのログインセキュリティをアップする方法をまとめましたのでついでに見てみてください

サイトへの支援をお願いします

最後までお読みいただきありがとうございました。本記事の内容がお役に立てましたら幸いです。
今後もよりよい情報を提供し続けることができるよう、投げ銭によるサイトへの支援、およびSNSによる拡散をお願いします

作者:

☆最後までお読みいただきありがとうございました。記事作者のひまあーとです。
☆Wordpressでサイトをカスタマイズしていく上で有用な情報を配信しつつ、「ココナラ」でサイトカスタマイズのお手伝い、不具合の修復、サイト引っ越し代行などをさせていただいております。

年齢:40代 趣味/園芸・ペット・卓球