WordPressで2要素認証を無料の方法で追加する方法

私たちのブログを最初に立ち上げたとき、セキュリティは常に私たちの念頭にありました。成功するサイトを構築することは、素晴らしいコンテンツ以上のものが必要であることを私たちは知っていました。それは、私たちの努力と読者を保護するための安全な基盤を必要としました。

しかし、ログイン試行の大幅な増加に気づいたとき、私たちはもっと何かが必要だと悟りました。

Facebook や Google のような大手ウェブサイトから着想を得て、必要なソリューションが 2 要素認証 (2FA) であることを私たちは知っていました。この追加のセキュリティレイヤーにより、ハッカーがアクセスを侵害することがはるかに困難になります。

幸いなことに、私たちのサイトに2FAを追加するのは非常に簡単であることがわかりました。サイトのセキュリティが向上し、安心感を得られました。

この記事では、WordPressサイトに2要素認証（2FA）を段階的に追加する方法を説明します。2FAを有効にすると、ログインにはパスワードと、電話上のアプリからの時間制限付きコードの両方が必要になります。

設定方法を2つの簡単な方法でご案内します。

WordPress に 2 要素認証を追加する理由

ハッカーが使用する最も一般的なトリックの1つは、ブルートフォース攻撃と呼ばれるものです。これらの攻撃のいずれか durante、自動化されたスクリプトを使用して、正しいユーザー名とパスワードを推測し、WordPressウェブサイトにログインできるようにします。

スケールを把握するために言うと、WordPressのセキュリティプロバイダーは、毎月数十億もの自動パスワード推測試行をブロックしています。

攻撃が成功すると、ハッカーは管理エリアにアクセスできるようになり、マルウェアをインストールしたり、ユーザー情報を盗んだり、サイト全体を削除したりできます。

WordPressウェブサイトを保護する最も簡単な方法の1つは、2要素認証（2FA）を追加することです。この設定では、パスワードとセカンダリコード（アプリ、メール、またはテキストメッセージから）の両方を入力してウェブサイトにログインする必要があります。

この方法では、たとえ誰かがあなたのパスワードを盗むことに成功したとしても、アクセスするには携帯電話からのセキュリティコードが必要になります。

このように、誰かがパスワードを盗んだとしても、アクセスするには電話からのセキュリティコードを入力する必要があります。

認証アプリとは？

認証アプリは、オンラインアカウントの一時的なセキュリティコードを生成するスマートフォンアプリケーションです。WordPressで2段階ログインを設定するための最も安全で信頼性の高い方法です。

アプリと Web サイトは、共有シークレット キーを使用して、時間制限のある使い捨てパスワードを生成します。これらのコードは、ログイン時に 2 番目の保護レイヤーとして使用されます。

無料で利用できる優れたアプリがたくさんあります。以下に人気の選択肢をいくつかご紹介します。

• Google Authenticator： 非常に一般的な選択肢ですが、クラウドバックアップは提供していません。電話を紛失した場合、リカバリコードを別途保存していない限り、ロックアウトされる可能性があります。
• Authy： ほとんどのユーザーにとって、これが最優先のおすすめです。これは、アカウントを安全にクラウドに保存できる無料アプリです。これにより、電話を紛失した場合でも、新しいデバイスで簡単にアクセスを復元できます。
• 1Password および LastPass: 人気のパスワードマネージャーには、独自の認証機能が組み込まれていることがよくあります。WPBeginnerでは、チーム全員が1Passwordを使用して、ログイン情報と2FAコードを1つの安全な場所に保管しています。

このチュートリアルでは、スクリーンショットにAuthyを使用します。プロセスはほとんどのアプリで非常に似ているため、別のアプリで進めることができます。

それはさておき、WordPressに2FAを追加する方法を見てみましょう。お好みの方法にジャンプするには、以下のリンクをクリックしてください。

1. 方法1：WP 2FAを使用して二要素認証を追加する
2. 方法2：Two-Factorを使用して二要素認証を追加する
3. WordPressの二要素認証（2FA）に関するよくある質問
4. WordPressログイン保護に関する専門家ガイド

さて、無料でWordPressログイン画面に二要素認証を簡単に追加する方法を見てみましょう。

方法1：WP 2FAを使用して二要素認証を追加する

この方法は簡単で、すべてのユーザーにおすすめです。柔軟性があり、すべてのユーザーに二要素認証を強制できます。

まず、WP 2FA – Two-factor Authentication プラグインをインストールして有効化する必要があります。詳細については、WordPress プラグインのインストール方法に関するステップバイステップガイドを参照してください。

アクティベーション後、WPA 2FA セットアップ ウィザードが自動的に起動します。そうでない場合は、ユーザー » プロフィール ページにアクセスし、「WP 2FA 設定」セクションまでスクロールしてください。

「2 要素認証 (2FA) の設定」ボタンをクリックすると、セットアップ ウィザードが起動します。

WP 2FAセットアップウィザード

プラグインの設定を開始するには、「開始する！」ボタンをクリックするだけです。

次のページで、認証方法を選択するように求められます。

2 つのオプションがあります:

• 選択した2FAアプリで生成されたワンタイムコード（推奨）
• メールで送信されたワンタイムコード

より安全で信頼性が高いため、2FA アプリ (TOTP) 認証による認証を選択することをお勧めします。

選択が完了したら、「セットアップの続行」ボタンをクリックして、セットアップウィザードの次のページに進みます。

プライマリ2FAメソッドが失敗した場合（電話を紛失した場合など）に、ユーザーに使用させたい代替2FAメソッドを選択するよう求められます。

無料プランでは、バックアップコードの方法のみが利用可能になります。より多くの代替2FA方法をご希望の場合は、WP 2FA Premiumにアップグレードする必要があります。

次のページに進むには、単に「セットアップの続行」ボタンをクリックしてください。

このページでは、一部またはすべてのユーザーに2要素ログインを必須にすることができます。特に、会員サイトのようなマルチユーザーWordPressウェブサイトを運営している場合は、これをお勧めします。

ウェブサイトのすべてのユーザーに2FAを強制したい場合は、「すべてのユーザー」オプションを選択して「セットアップの続行」をクリックしてください。

これで、すべてのユーザーに2FAの使用が義務付けられます。

ただし、ウェブサイトには2FAの使用を強制したくないユーザーがいるかもしれません。次のページでは、それらのチームメンバーのユーザー名またはユーザーロールを入力できます。

それが完了したら、「セットアップの続行」ボタンをクリックすると、ユーザーがいつ2FAの使用を開始する必要があるかを決定できるページに移動します。

すぐに開始するように要求することもできますし、設定に時間をかけるために、たとえば 3 日間の猶予期間を与えることもできます。ウェブサイトで使用したいオプションをクリックするだけです。

猶予期間を設けたい場合は、何時間または何日とするかを選択できます。デフォルト設定の3日間は、ほとんどのウェブサイトで問題なく機能します。

一部のユーザーが2FAを設定していない場合に、猶予期間終了後にどうするかについてのオプションもあります。ログインを許可するがダッシュボードへのアクセスを許可しないか、ログイン自体をブロックするかを選択できます。ほとんどのウェブサイトでは、最初のオプションが最適でしょう。

選択が完了したら、「完了」をクリックしてセットアップウィザードを終了できます。おめでとうございます。サイトで二要素認証が設定されました！

設定完了画面が表示され、お祝いのメッセージが表示されます。また、ご自身のユーザーアカウントで2FAを設定するためのボタンも表示されます。「今すぐ2FAを設定する」ボタンをクリックしてください。

ユーザーアカウント自体の二要素認証の設定

新しいセットアップウィザードが開始され、ご自身のユーザーアカウントの二要素認証を設定するのに役立ちます。ウェブサイトの他のユーザーも同様の操作を求められます。

まず、使用したい2FAの方法を決定する必要があります。認証アプリ経由のワンタイムコードのオプションが表示されるはずです。セットアップウィザード中に選択したオプションによっては、他のオプションも表示される場合があります。

「2FAアプリ経由のワンタイムコード」オプションを選択し、「次のステップ」ボタンをクリックしてください。

プラグインには QR コードとテキスト コードが表示されます。

認証アプリを使用してQRコードをスキャンする必要があります。または、アプリにテキストコードを手動で入力することもできます。

次に、モバイル デバイスで好みの認証アプリを開く必要があります。以下のスクリーンショットは Authy を使用していますが、他のアプリも同様の方法で機能します。

まず、認証アプリの「+」または「アカウントを追加」ボタンをクリックします。

アプリは、お使いの携帯電話のカメラへのアクセス許可を求めます。

この権限を許可してから「QRコードをスキャン」ボタンをタップする必要があります。これにより、コンピューター上のプラグインの設定ページに表示されるQRコードをスキャンできます。

アプリが QR コードを認識すると、自動的にアカウントの保存が開始されます。

その後、アカウントのデフォルトのロゴとニックネームを編集できます。準備ができたら、「保存」ボタンをタップする必要があります。

認証アプリは、ウェブサイトのアカウントを保存します。

次に、ワンタイムパスワードが表示され始めます。これをコンピューター上のプラグイン設定に入力する必要があります。

次に、コンピューターに切り替える必要があります。

プラグインの設定ウィザードで、「準備完了」ボタンをクリックして続行してください。

プラグインは、ワンタイムパスワードの確認を求めます。

有効期限が切れる前に、モバイル アプリのコードを「認証コード」フィールドに入力してください。

その後、「検証して保存」ボタンをクリックして設定を完了してください。

次に、バックアップコードのリストを生成して保存するオプションが表示されます。これらのコードは、電話にアクセスできない場合に役立ちます。

「バックアップコードのリストを生成する」ボタンをクリックする必要があります。

バックアップコードが生成され、表示されます。

これらのバックアップコードは、コンピューターの安全な場所にダウンロードしたり、印刷して安全な場所に保管したり、メールで自分宛に送信したりできます。携帯電話が手元にない場合にアクセスできる場所に保管してください。

その後、「準備完了、ウィザードを閉じる」ボタンをクリックしてセットアップウィザードを終了できます。

ログイン時に2要素認証を使用する

次回ユーザーがログインする際に、猶予期間の終了日とともに、二要素認証を設定する必要があるという通知が表示されます。

2FAをすぐに設定するボタンをクリックするか、次回のログイン時にリマインダーを受け取るかを選択できます。

「今すぐ2FAを設定する」ボタンをクリックすると、前のセクションであなた自身のユーザーアカウント用に2FAを設定したときと同じ手順で進みます。

2要素認証を設定した後、サインインすると、通常どおりWordPressのログイン画面が表示されます。ただし、ユーザー名とパスワードを入力すると、認証アプリからのコードを求める2番目の画面が表示されます。

スマートフォンアプリのコードを入力すると、ログインできるようになります。または、スマートフォンを持っていない場合は、バックアップコードを入力することもできます。

これにより、ウェブサイトのセキュリティが向上します。ハッカーがユーザーのユーザー名とパスワードを知ったとしても、そのユーザーの電話にアクセスできない限りログインできません。

方法2：Two-Factorを使用して二要素認証を追加する

この方法は、すべてのユーザーに2要素ログインを強制できないため、柔軟性が低いです。各ユーザーは自分で設定する必要があり、プロフィールから無効にすることができます。ただし、自分自身のカウント用に2FAを設定したいだけであれば、迅速かつ簡単な方法です。

まず、Two-Factorプラグインをインストールして有効にする必要があります。詳細については、WordPressプラグインのインストール方法に関するステップバイステップガイドをご覧ください。

アクティベーション後、ユーザー » プロフィールページにアクセスし、「2要素オプション」セクションまでスクロールダウンする必要があります。

ここから、2要素ログインオプションを選択する必要があります。このプラグインでは、メール、認証アプリ、FIDO U2Fセキュリティキーの方法を使用できます。

オーセンティケーターアプリの方法を使用することをお勧めします。Google Authenticator、Authy、またはLastPass Authenticatorのようなオーセンティケーターアプリを使用して、画面上のQRコードをスキャンするだけです。

QRコードをスキャンすると、アプリに確認コードが表示されます。このコードをプラグインオプションに入力し、「送信」ボタンをクリックする必要があります。

プラグインは秘密鍵を設定します。QRコードを再スキャンするために、いつでも設定ページからこの鍵をリセットできます。

設定を保存するには、ページ下部にある「プロフィールを更新」ボタンをクリックすることを忘れないでください。

これで、WordPressウェブサイトにログインするたびに、お使いの携帯電話のアプリで生成された認証コードの入力が求められます。

WordPressの二要素認証（2FA）に関するよくある質問

WordPressで二段階ログインを使用することに関して、よくある質問とその回答をいくつかご紹介します。

携帯電話にアクセスできない場合、2FAでどのようにログインできますか？

もし携帯電話をお持ちでない場合でも、事前に準備しておけば、アカウントにアクセスするためのいくつかの方法があります。

• クラウドバックアップ付きアプリを使用する： Authyのようなクラウドバックアップ付きの認証アプリを使用している場合、別のデバイス（ラップトップや新しい電話など）にアプリをインストールできます。Authyアカウントにログインするだけで、2FAコードにアクセスできます。
• バックアップコードを使用する： 2FAを設定すると、プラグインから一度限りのバックアップコードのリストが提供されます。アプリで生成されたコードの代わりに、これらのコードのいずれかを使用してログインできます。

認証アプリからのコードなしでログインするにはどうすればよいですか？

電話、コードを持つ別のデバイス、またはバックアップコードにアクセスできない場合、ログインする唯一の方法は2FAプラグインを無効にすることです。

管理画面にアクセスできない場合に、すべてのWordPressプラグインを無効にする方法に関するガイドに従うことができます。これにより、2FAの要件が無効になり、ログインできるようになります。ログインしたら、プラグインを再度有効化し、2FAの設定をリセットできます。

WordPressの管理フォルダをパスワードで保護する必要がありますか？

ウェブサイトのセキュリティは、安全なWordPressホスティングのような基本的なものから始めて、複数の保護レイヤーを使用すると最も効果的です。2FAはログインページを保護しますが、WordPress管理ディレクトリにパスワード保護を適用することで、サイトをさらに安全にすることができます。

これは、ユーザーがログインページにアクセスするためだけに別のパスワードを入力する必要があることを意味し、攻撃に対する強力な障壁をさらに一つ追加します。

WordPressログイン保護に関する専門家ガイド

WordPress に 2 要素認証を追加する方法がわかったので、WordPress のログインをより安全にするための他の記事もご覧になるとよいでしょう。

• WordPressでログイン試行を制限する方法と理由
• WordPressでカスタムログインURLを追加する方法（ステップバイステップ）
• WordPressのログインおよび登録フォームにCAPTCHAを追加する方法
• WordPressログイン画面にセキュリティの質問を追加する方法
• WordPressログインエラーメッセージでログインヒントを無効にする方法
• WordPress管理画面（wp-admin）ディレクトリにパスワード保護をかける方法
• WordPressでwp-login.phpファイルへのIPアクセスを制限する方法
• WordPressでマジックリンクを使ったパスワードなしログインを追加する方法
• WordPressサイトをブルートフォース攻撃から保護する方法

この記事がWordPressログインに2要素認証を追加するのに役立ったことを願っています。また、WordPressサイトの無料SSL証明書を取得する方法や、最高のWordPressセキュリティプラグインに関するガイドもご覧ください。

この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。