WordPressサイトの「ユーザー名」か「メールアドレス」と「パスワード」を使ったログイン認証、ちょっと不安ではないですか??ご存じないかも知れないのでユーザー名やメールアドレスが容易に分かってしまう典型的な申し上げておくと
- 無対策であれば、ユーザーの作成した投稿一覧(テーマでは内部リンク対策として作者名にリンクがあり、そこからその作者の公開している投稿の一覧が表示される機能です)のURLにばっちりユーザー名が表示されている。
- 自動または手動インストール時に聞かれる「サイトのメールアドレス」がインストール時に「管理ユーザーのメールアドレス」として登録されていることを知らずに、コメントの返信や問い合わせフォームを設置、送信元メールアドレスからログイン用メールアドレスが発覚
2については、インストール後に気を付けて変更すれば解消できますし、1についても2を行った上でログインをメールアドレスのみに限定すれば、作者の投稿一覧URLに出てしまうユーザー名を変更する必要がなくなり、ある程度のセキュリティ状態は保てると思います。
が、こんなに単純な穴や抜け道があるということは、ほかにもどこかから漏洩してしまう可能性は十分にあると思います。特に人気の高いCMSツールであるWordPressは多くの方に使われているため、悪いことをしようとする輩が多いのも確かです。
そこで今回は、通常のログインに加えて、アプリやメールによる認証をクリアしないとログインできなくするプラグイン「WP 2FA Two-factor Authentication for WordPress」を紹介します。
【WP 2FA Two-factor Authentication for WordPress】プラグインの用途や機能
このプラグインは通常のユーザー名・パスワードによる認証クリア後に以下の方法で最終的なログイン認証を行います
- スマホアプリを使ったワンタイムパスワード認証
- ユーザーの登録メールアドレスへワンタイムパスワードを送信しての認証
※モバイル環境がないため、本紹介記事ではメールによる認証のみ試していますので、モバイルでの動作は未チェックです。
このプラグインの良いところは、全員に適用する設定を行うと一斉に登録ユーザーへメール送信をして、メールの案内に従って2要素認証の設定を完了しなかったユーザーや、無視したユーザーからのログインを停止する機能があることです。もちろんユーザーが削除されてしまうことはありませんので、解除依頼があれば管理者権限のユーザーがいつでも解除できます(解除後はユーザー側で再度認証手続きが必要です)。
この紹介記事を最後に編集したときの環境・バージョンなど
プラグインは製作者によって日々更新されていくため、この紹介記事が最新バージョンのものであるとは限りません。参考までにこの記事の最終更新日時点におけるテスト環境、プラグインバージョン、プラグイン導入時の留意点などを記載しておきます。
プラグインを使用(試用)したテスト環境
- テストサーバー:カラフルボックス
- WordPressのバージョン:5.8.3
- PHPのバージョン:7.4.6
- テーマ:HABONE(オリジナルテーマ)
- プラグインのバージョン:本記事で紹介しているバージョン2.1.0/最新バージョン 2.8.0
- 公式サイト(wordpress.org上):https://wordpress.org/plugins/wp-2fa/
- 公式サイト(作者サイト):
本記事を参考にWordPressサイトへプラグインの導入を検討される方へ
WordPressは古くから無料で配布されているサイト作成ツール(CMS)で、随時改良が加えられており、さまざまなバージョンが存在します。
さらにWordPressを動かすためのプログラムであるPHP、サイトのデータを保存しておくためのデータベースについても様々なバージョンがあります。
そしてWordPress本体同様にプラグインについてもさまざまなバージョンが存在します。
本記事を参考にプラグインの導入をお考えの方は、以下に留意の上でインストールするようにしてください。
- テスト環境での動作に基づいた紹介記事ですので、すべての環境で正常に動作するかどうかは不明です
※本記事の内容についてはページ内に記載しているプラグインバージョンのものになります。現在のバージョンと異なる場合、機能や日本語対応の状況などが異なる場合があります。
※また、テスト環境、テストしたプラグインバージョン等の表示が本文内にない場合、ページタイトル下にある最終更新日当時の情報となりますので、現在のバージョンでは全く違う機能となっているかも知れません。 - プラグインに無料版と有料版(Pro版)がある場合、特に記載がなければ無料版の情報のみを紹介しています
- このページでプラグインを使用する際に必要なショートコードやコードなどは、コピーして使用することができますが、環境によっては記号などが文字化けすることがあります。コピーしたのに動作しない場合は特に「”」「’」などの記号を入力し直してみてください。
- プラグイン本体の動作不具合や質問などは公式サイトのフォーラムなどで行ってください(ここでは質問にお答えすることはできません)
【WP 2FA Two-factor Authentication for WordPress】プラグインの設定画面や表示画面の日本語化と翻訳
当サイトで私が翻訳した【WP 2FA Two-factor Authentication for WordPress】プラグインの日本語化ファイルを提供しています。翻訳ファイルについての詳しい説明は以下のリンク先記事をご覧ください。
このプラグインは設定ウィザードで簡単に設定できるようになっていますので、ウィザードから日本語で設定を行いたい場合には先に翻訳ファイルの入手と適用をされることをおすすめします。
※翻訳することで設定が容易になり、重要な項目の設定漏れも少なくなりますから日本語化をお勧めします。
【WP 2FA Two-factor Authentication for WordPress】プラグインのインストールと設定
インストール方法
インストールはプラグインの新規追加でプラグイン名を入力して検索してインストールするか、WordPressのプラグイン公式配布ページからダウンロード後、管理画面からアップロードインストールしてください(プラグインの公式ページは本ページ内記載のリンクをクリック、もしくは、WordPress公式サイトで検索してください)。
WordPressを使い始めて間もない方(初心者の方)は、より詳細なプラグインのインストール手順や、インストール時に起こる問題などへの対処方法をまとめた【WordPress】プラグインのインストール&追加方法とエラー対処の方法も併せてご覧ください。
基本的な設定方法と使用方法
インストール&有効化すると設定ウィザードが起動します。基本的にウィザードで設定した方が確実かく簡単ですが、当然ながら英語表記ですので、英語の苦手な方はプラグインのインストール後、有効化する前に上記の日本語化ファイルを導入されることをおすすめします。
ウィザードの画面は以下の通りです(公式ページよりリンク挿入しています)
ウィザードでは
- 現在ログインしている管理者の認証を行う
- その他のユーザーに対する認証の設定を行う
- 緊急ログイン用のコードを発行する
という流れで設定を行います。もちろん後から設定画面を使っての変更も可能です。
設定が終わり。次回ログインする際には
- 通常の「ユーザー名(またはメールアドレス)」と「パスワード」によるログインをする
- ユーザーの登録メールアドレス宛に送信されたメールにあるワンタイムパスワードを入力して認証する
という流れでログインすることとなります。
※モバイル環境でアプリを使ったテストは行っておりません
また不具合が起こった場合には単純にプラグインを停止すれば、2要素認証なしで通常の運用ができます(特別な措置は必要ありません)から安心して使えます。
本記事の更新(変更)履歴
更新日 | 更新内容 |
---|---|
2020年 9月19日 | 記事公開しました |
2022年 1月24日 | バージョン2.1.0での試用を行い、一部記事内容の修正を行いました |