記事内に広告を含む場合があります

詳しく見る

WordPress

公開日：2023.04.04

WordPressの2段階認証プラグイン「Two-Factor」の使い方

WordPressのセキュリティ対策として、ログインURL・ユーザー名・パスワードを破られた場合も二段階認証を設定することでサイトを守ることができます。

「Two-Factor」という専用のプラグインがありますので、こちらを使って簡単に導入が可能です。

WordPress公式サイト「Two-Factor」ページ

この記事の目次

プラグインのインストール

プラグイン新規追加画面から、検索窓に「Two-Factor」と検索すると出てきますので「今すぐインストール」

「有効化」します。

認証設定はユーザー単位でおこなう

有効化後、実際の設定は左メニュー「ユーザー一覧」からおこないます。

「Two-Factor」という項目が追加されています。

ポイントとして、2段階認証はユーザー単位での設定になります。

上図のように複数のユーザーがいる場合、ユーザーA, Bそれぞれに対して2段階認証を設定します。

設定方法

設定したいユーザーにカーソルを合わせると「編集」と出てきますのでクリック。

開いた画面を少し下にスクロールすると「Two-Factor設定」という項目がありますので、ここから設定していきましょう。

図の通り、4ついずれかの方法で2段階認証を設定するのですが、本記事では上の2つ、無料かつスタンダードな

メール
Time Based One-Time Password (TOTP)

での方法を紹介します。

それでは、実際に二段階認証を設定していきましょう。

メールでの認証設定

まず最も手軽にできるメール認証。認証コードがメールで届き、それをログイン画面にて入力することでログインが可能になるという方法です。

なおメールは、ユーザーに設定されているメールアドレスに届きます。

設定手順

4項目あるうち「メール」にだけ「有効」のチェック。

次にページ最下部にある「プロフィールを更新」をクリック。

これだけで設定は完了です。

実際に認証の流れを確認

それでは試しに、いちどログアウトして実際に2段階認証を試してみましょう。

まず、いつも通りユーザー名、パスワードを入れてログインボタンを押します。

すると「認証コード」を入力する画面に切り替わり「（サイト名）のログイン確認コード」というメールが届きます。

これを入力して「ログイン」ボタンを押すことで、管理画面にログインができます。

Time Based One-Time Password (TOTP)での認証設定

次に、Time Based One-Time Password (TOTP)という方法を紹介します。

こちらはお手持ちのスマホに、アプリを入れる必要があります。

簡単に言うと、アプリ画面に表示される一時的なパスワードをWordPressログイン画面に入力することで認証する、といった方法です。

Android版では「Google 認証システム」
iPhone版では「Google Authenticator」

をまずインストールしましょう。

設定手順

アプリを立ち上げたら「開始」をクリック
※「使ってみる」という文言の場合もあります

「QRコードをスキャン」をクリック

Two-Factor設定画面にて「Time Based One-Time Password (TOTP)」の有効にチェックが入った状態で、QRコードをスキャンします。

するとスマホ画面がこのように切り替わります。

表示されている6桁の数字を「認証コード」に入力して「送信する」をクリック。

するとこのような表示に切り替わり、設定が完了です。アプリとWordPressが紐付けられました。

実際に認証の流れを確認

では試しに一旦ログアウトして、再度ログインしてみましょう。

いつも通りユーザー名、パスワードを入力してログインボタンを押すと、このような画面が表示されます。

この「認証コード」欄に、そのときスマホに表示されている6桁数字を入力して「認証する」ボタンを押せば、管理画面にログインできます。

予備の認証方法を設定も可能

以上、2通りの認証方法を紹介しましたが、両方とも設定（どちらかを予備の方法として）も可能です。

例として、基本はメールでの認証だが、何かしらの理由でメールが使えなくなった場合に備えてスマホアプリでの認証もできるようにしておく、といったものです。

無難であり理想の設定ですね。

設定手順

下図のように、両者にチェックを入れて「メイン」を選択します。

この場合は、基本はメールで認証して、予備としてTime Based One-Time Password (TOTP)を使うといったことですね。

「プロフィールを更新」をクリック。

以上で完了です。それでは実際にどうなるか確認してみましょう。

実際に認証の流れを確認

ログイン時の認証画面に「または、独自のバックアップ方法をご使用ください。（設定した予備の方法）→」という表示が出るようになります。

ここをクリックすることで、予備に設定した方法での認証画面に切り替わり、認証が可能になります。

以上です。