Security plugin "WP 2FA – Two-factor Authentication for WordPress" that adds authentication by application or email in addition to login with normal user name and password

通常のユーザー名とパスワードでのログインに加え、アプリやメールでの認証を追加するセキュリティプラグイン「WP 2FA – Two-factor Authentication for WordPress」

公開日: セキュリティ
通常のユーザー名とパスワードでのログインに加え、アプリやメールでの認証を追加するセキュリティプラグイン「WP 2FA – Two-factor Authentication for WordPress」

WordPressサイトの「ユーザー名」か「メールアドレス」と「パスワード」を使ったログイン認証、ちょっと不安ではないですか??ご存じないかも知れないのでユーザー名やメールアドレスが容易に分かってしまう典型的な申し上げておくと

  1. 無対策であれば、ユーザーの作成した投稿一覧(テーマでは内部リンク対策として作者名にリンクがあり、そこからその作者の公開している投稿の一覧が表示される機能です)のURLにばっちりユーザー名が表示されている。
  2. 自動または手動インストール時に聞かれる「サイトのメールアドレス」がインストール時に「管理ユーザーのメールアドレス」として登録されていることを知らずに、コメントの返信や問い合わせフォームを設置、送信元メールアドレスからログイン用メールアドレスが発覚

2については、インストール後に気を付けて変更すれば解消できますし、1についても2を行った上でログインをメールアドレスのみに限定すれば、作者の投稿一覧URLに出てしまうユーザー名を変更する必要がなくなり、ある程度のセキュリティ状態は保てると思います。

が、こんなに単純な穴や抜け道があるということは、ほかにもどこかから漏洩してしまう可能性は十分にあると思います。特に人気の高いCMSツールであるWordPressは多くの方に使われているため、悪いことをしようとする輩が多いのも確かです。

そこで今回は、通常のログインに加えて、アプリやメールによる認証をクリアしないとログインできなくするプラグイン「WP 2FA Two-factor Authentication for WordPress」を紹介します。

【WP 2FA Two-factor Authentication for WordPress】プラグインの用途や機能

このプラグインは通常のユーザー名・パスワードによる認証クリア後に以下の方法で最終的なログイン認証を行います

  • スマホアプリを使ったワンタイムパスワード認証
  • ユーザーの登録メールアドレスへワンタイムパスワードを送信しての認証

※モバイル環境がないため、本紹介記事ではメールによる認証のみ試していますので、モバイルでの動作は未チェックです。

このプラグインの良いところは、全員に適用する設定を行うと一斉に登録ユーザーへメール送信をして、メールの案内に従って2要素認証の設定を完了しなかったユーザーや、無視したユーザーからのログインを停止する機能があることです。もちろんユーザーが削除されてしまうことはありませんので、解除依頼があれば管理者権限のユーザーがいつでも解除できます(解除後はユーザー側で再度認証手続きが必要です)。

この紹介記事を最後に編集したときの環境・バージョンなど

プラグインは製作者によって日々更新されていくため、この紹介記事が最新バージョンのものであるとは限りません。参考までにこの記事の最終更新日時点におけるテスト環境、プラグインバージョン、プラグイン導入時の留意点などを記載しておきます。

プラグインを使用(試用)したテスト環境

  • テストサーバー:カラフルボックス
  • WordPressのバージョン:5.5.1
  • PHPのバージョン:7.4.6
  • テーマ:ha-Basic(オリジナルテーマ)
  • プラグインのバージョン:本記事で紹介しているバージョン1.4.2/最新バージョン 1.7.1
  • 公式サイト(wordpress.org上):https://wordpress.org/plugins/wp-2fa/
  • 公式サイト(作者サイト):

本記事を参考にWordPressサイトへプラグインの導入を検討される方へ

WordPressは古くから無料で配布されているサイト作成ツール(CMS)で、随時改良が加えられており、さまざまなバージョンが存在します。

さらにWordPressを動かすためのプログラムであるPHP、サイトのデータを保存しておくためのデータベースについても様々なバージョンがあります。

そしてWordPress本体同様にプラグインについてもさまざまなバージョンが存在します。

本記事を参考にプラグインの導入をお考えの方は、以下に留意の上でインストールするようにしてください。

  • テスト環境での動作に基づいた紹介記事ですので、すべての環境で正常に動作するかどうかは不明です
    ※本記事の内容についてはページ内に記載しているプラグインバージョンのものになります。現在のバージョンと異なる場合、機能などが異なる場合があります。
    ※また、テスト環境、テストしたプラグインバージョン等の表示が本文内にない場合、ページタイトル下にある最終更新日当時の情報となりますので、現在のバージョンでは全く違う機能となっているかも知れません。
  • プラグインに無料版と有料版(Pro版)がある場合、特に記載がなければ無料版の情報のみを紹介しています
  • このページでプラグインを使用する際に必要なショートコードやコードなどは、コピーして使用することができますが、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。
  • プラグイン本体の動作不具合や質問などは公式サイトのフォーラムなどで行ってください(ここでは質問にお答えすることはできません)

【WP 2FA Two-factor Authentication for WordPress】プラグインの設定画面や表示画面の日本語化と翻訳

当サイトで私が翻訳した【WP 2FA Two-factor Authentication for WordPress】プラグインの日本語化ファイルを配布しています。翻訳ファイルについての詳しい説明は

をご覧ください。

※翻訳することで設定が容易になり、重要な項目の設定漏れも少なくなりますから日本語化をお勧めします。

【WP 2FA Two-factor Authentication for WordPress】プラグインのインストールと設定

インストール方法

インストールはプラグインの新規追加でプラグイン名を入力して検索してインストールするか、WordPressのプラグイン公式配布ページからダウンロード後、管理画面からアップロードインストールしてください(プラグインの公式ページは本ページ内記載のリンクをクリック、もしくは、WordPress公式サイトで検索してください)。

WordPressを使い始めて間もない方(初心者の方)は、より詳細なプラグインのインストール手順や、インストール時に起こる問題などへの対処方法をまとめた【WordPress】プラグインのインストール&追加方法とエラー対処の方法も併せてご覧ください。

基本的な設定方法と使用方法

インストール&有効化すると設定ウィザードが起動します。基本的にウィザードで設定した方が確実かく簡単ですが、当然ながら英語表記ですので、英語の苦手な方はプラグインのインストール後、有効化する前に上記の日本語化ファイルを導入されることをおすすめします。

ウィザードの画面は以下の通りです(公式ページよりリンク挿入しています)

通常のユーザー名とパスワードでのログインに加え、アプリやメールでの認証を追加するセキュリティプラグイン「WP 2FA – Two-factor Authentication for WordPress」の画像|Knowledge Base
通常のユーザー名とパスワードでのログインに加え、アプリやメールでの認証を追加するセキュリティプラグイン「WP 2FA – Two-factor Authentication for WordPress」の画像|Knowledge Base
通常のユーザー名とパスワードでのログインに加え、アプリやメールでの認証を追加するセキュリティプラグイン「WP 2FA – Two-factor Authentication for WordPress」の画像|Knowledge Base

ウィザードでは

  1. 現在ログインしている管理者の認証を行う
  2. その他のユーザーに対する認証の設定を行う
  3. 緊急ログイン用のコードを発行する

という流れで設定を行います。もちろん後から設定画面を使っての変更も可能です。

設定が終わり。次回ログインする際には

  1. 通常の「ユーザー名(またはメールアドレス)」と「パスワード」によるログインをする
  2. ユーザーの登録メールアドレス宛に送信されたメールにあるワンタイムパスワードを入力して認証する

という流れでログインすることとなります。

※モバイル環境でアプリを使ったテストは行っておりません

また不具合が起こった場合には単純にプラグインを停止すれば、2要素認証なしで通常の運用ができます(特別な措置は必要ありません)から安心して使えます。

  • ☆最後までお読みいただきありがとうございました。記事作者のひまあーとです。
    ☆Wordpressでサイトをカスタマイズしていく上で有用な情報を配信しつつ、「ココナラ」でサイトカスタマイズのお手伝い、不具合の修復、サイト引っ越し代行などをさせていただいております。
    ☆Wordpressネタが多いですが、趣味の「園芸」「卓球」などの情報や日々の出来事などもどんどん増やしていきますのでよろしくお願いいたします。

QR Code

このページはモバイル端末でもご覧いただけます

左のQRコードを読み取っていただくと、このページのURLが表示され、簡単にアクセスできます。ぜひモバイル端末でもご覧ください。

WordPressのカスタマイズ・不具合対応などご相談ください

Wordpressのカスタマイズ、不具合解消のご相談はすべてココナラのダイレクトメッセージからお受けしております。まずはこちらのバナーからお気軽にお問い合わせください。