Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPBカップ
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

WordPressで2要素認証を追加する方法(無料方法)

編集メモ: WPBeginner のパートナーリンクから手数料を得ています。手数料は編集者の意見や評価に影響を与えません。編集プロセスについて詳しく知る。

FacebookやGoogleのような人気サイトが、セキュリティ向上のために2要素認証を追加するよう求めていることにお気づきだろうか。

WordPressサイトに2要素認証を追加できるようになりました。これにより、WordPressサイトとその登録ユーザーすべての最大限のセキュリティが保証されます。

この投稿では、プラグインと認証アプリを使ってWordPressに2要素認証を追加する方法を紹介する。

How to Add Two-Factor Authentication in WordPress (Free Method)

なぜWordPressに2要素認証を追加するのか?

ハッカーが使用する最も一般的なトリックの1つは、ブルートフォース攻撃と呼ばれるものです。この攻撃では、自動化されたスクリプトを使用して正しいユーザー名とパスワードを推測し、WordPressサイトにログインできるようにします。

ブルートフォース攻撃に成功すると、ハッカーはあなたのサイトの管理エリアにアクセスできるようになります。彼らはマルウェアをインストールし、ユーザー情報を盗み、サイト上のすべてを削除することができます。

盗まれたパスワードからWordPressサイトを保護する最も簡単な方法の1つは、2要素認証(2FA)を追加することです。この設定では、サイトにログインするために、パスワードと二次コード(アプリ、メール、テキストメッセージ)の両方を入力する必要があります。

こうすることで、たとえ誰かがあなたのパスワードを盗んだとしても、あなたの携帯電話からセキュリティ・コードを入力しなければアクセスできなくなる。

認証アプリとは?

WordPressで2段階ログインを設定する方法は複数あります。しかし、最も安全で簡単な方法は、認証アプリを使用することです。

ジェネレータ・アプリは、スマートフォンのアプリで、保存したアカウントに一時的なワンタイムパスワードを生成する。

基本的に、アプリとサーバーはシークレットキーを使って情報を暗号化し、ワンタイムコードを生成します。

無料で利用できるアプリはたくさんある:

  • 最もポピュラーなアプリはGoogle Authenticatorだが、ベストな選択とは言えない。携帯電話を紛失した場合、事前にバックアップ・コピーを作成しない限り、アカウントを復元する方法がないからだ。
  • Authyは使いやすく無料のアプリで、アカウントを暗号化してクラウド上に保存できるので、Authyを使うことをお勧めします。この方法なら、携帯電話を紛失しても、マスターパスワードを入力するだけですべてのアカウントを復元できます。
  • LastPassや 1Passwordのような他のパスワード・マネージャーには、すべて独自の認証機能がついている。これらの認証機能はGoogle認証よりも優れており、キーの復元が可能です。

このチュートリアルでは、Authyを使用します。すべて同じように動作するので、必要であれば別のアプリを使ってチュートリアルに従うことができます。

それでは、WordPressに2FAを追加する方法を見ていきましょう。以下のリンクをクリックして、お好みの方法にジャンプしてください:

それでは、WordPressのログイン画面に2要素認証を無料で簡単に追加する方法を見ていきましょう。

方法1:WP 2FAを使って2要素認証を追加する

この方法は簡単で、すべてのユーザーにお勧めします。柔軟性があり、すべてのユーザーに2要素認証を強制することができます。

まず、WP 2FA – 2要素認証プラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。

有効化すると、WPA 2FAセットアップウィザードが自動的に起動します。そうでない場合は、ユーザー ” プロフィールページにアクセスし、’WP 2FA Settings’セクションまでスクロールダウンしてください。

2要素認証(2FA)の設定」ボタンをクリックすると、セットアップウィザードが起動します。

WP 2FAセットアップウィザード

Let’s Get Started!」ボタンをクリックするだけで、プラグインの設定が開始されます。

The WP 2FA Setup Wizard

次のページでは、認証方法を選択するよう求められます。

オプションは2つある:

  • ご希望の2FAアプリで生成されたワンタイムコード(推奨)
  • ワンタイム・コードをメールでお送りします。
Choose 2FA method

より安全で信頼性の高い2FAアプリ(TOTP)による認証を選択することをお勧めします。

選択したら、「セットアップを続ける」ボタンをクリックして、セットアップ・ウィザードの次のページに進みます。

携帯電話を紛失した場合など、プライマリ2FA方式が失敗した場合に、ユーザーにどの代替2FA方式を使用させたいかを尋ねられます。

無料プランでは、バックアップコード方法のみが利用可能です。より多くの代替2FA方法が必要な場合は、WP 2FA Premiumにアップグレードする必要があります。

WP 2FA Alternative 2FA Methods

Continue Setup(セットアップを続ける)」ボタンをクリックするだけで、次のページに進みます。

このページでは、一部のユーザーまたはすべてのユーザーに2要素ログインを必須にすることができます。特に、会員制サイトのように複数のユーザーが利用するWordPressサイトを運営している場合は、この設定をお勧めします。

サイト上のすべてのユーザーに2FAを適用したい場合は、「All users」オプションを選択して「Continue Setup」をクリックするだけです。

Enforce 2FA for All Users

これですべてのユーザーに2FAの使用が必須になります。

しかし、あなたのサイトには、2FAの使用を強制したくないユーザーがいるかもしれません。次のページでは、それらのチームメンバーのユーザー名またはユーザー権限を入力できます。

Exclude Users or Roles from Having to Use 2FA

設定が完了したら、’Continue Setup’ボタンをクリックすると、ユーザーがどのくらい早く2FAを使い始める必要があるかを決めるページに移動します。

すぐに開始することを必須とすることもできますし、例えば3日間の猶予期間を設けて、セットアップの時間を確保することもできます。あなたのサイトで使いたいオプションをクリックしてください。

猶予期間を設けたい場合は、何時間または何日にするかを選択できます。初期設定の3日間で、ほとんどのサイトに対応できます。

Set a Grace Period So Your Users Can Configure 2FA

また、2FAを設定していないユーザーがいる場合、猶予期間終了後にどうするかの設定オプションもあります。ログインはさせるがダッシュボードにはアクセスさせない、またはログインできないようにすべてブロックすることができます。ほとんどのサイトでは、最初の設定が最適でしょう。

選択したら、「すべて完了」をクリックしてセットアップウィザードを終了します。おめでとうございます、これでサイトに2要素認証が設定されました!

おめでとうございます」というメッセージとともに、セットアップ完了画面が表示されます。自分のユーザーアカウントに2FAを設定するボタンも表示されます。Configure 2FA Now」ボタンをクリックしてください。

Configure 2FA on Your Own User Account

自分のユーザーアカウントに対する2要素認証の設定

新しいセットアップウィザードが起動し、自分のユーザーアカウントに2要素認証を設定できます。あなたのサイトの他のユーザーも同様に設定するよう促されます。

最初に決める必要があるのは、どの2FA方式を使うかだ。認証アプリ経由のワンタイムコードのオプションが表示されるはずです。セットアップウィザードで選択した内容によっては、他のオプションが表示されることもあります。

2FAアプリでワンタイムコード」オプションを設定し、「次のステップ」ボタンをクリックするだけです。

Choose the 2FA Method

プラグインはQRコードとテキストコードを表示します。

認証アプリを使ってQRコードをスキャンする必要があります。または、アプリにテキストコードを手入力することもできます。

Use Your Authenticator App to Scan the QR Code

携帯端末を手に取り、お好きな認証アプリを開いてください。以下のスクリーンショットはAuthyを使用していますが、他のアプリも同様の方法で動作します。

まず、認証アプリの「+」または「アカウントを追加」ボタンをクリックします。

Click the + Button to Add an Account

アプリはあなたの携帯電話のカメラにアクセスする権限を要求します。

この権限を許可し、「QRコードをスキャン」ボタンをタップして、プラグインの設定ページに表示されているQRコードをコンピューターでスキャンできるようにする必要があります。

Click the Scan QR Code Button

アプリがQRコードを認識すると、自動的にアカウントの保存が開始されます。

その後、アカウントの初期ロゴとニックネームを編集できます。準備ができたら、「保存」ボタンをタップしてください。

Save Your New 2FA Account

認証アプリがあなたのサイトアカウントを保存します。

次に、ワンタイムパスワードが表示されます。これをコンピューターのプラグイン設定で入力する必要があります。

Find Your 2FA Token

さて、コンピューターに戻る必要がある。

プラグインのセットアップウィザードで、「I’m Ready」ボタンをクリックして続行します。

After Scanning the QR Code, Click the 'I'm Ready' Button

プラグインがワンタイムパスワードを確認するよう求めます。

有効期限が切れる前に、モバイルアプリのコードを「認証コード」フィールドにタイプするだけです。

その後、’Validate & Save’ボタンをクリックしてセットアップを完了します。

Type the One-Time Token and Validate

次に、バックアップコードのリストを生成して保存するオプションが与えられます。これらのコードは、携帯電話にアクセスできない場合に使用できます。

バックアップコードのリストをジェネレータする」ボタンをクリックします。

Click 'Generate List of Backup Codes'

バックアップコードが生成され、表示されます。

これらのバックアップ・コードをコンピューターの安全な場所にダウンロードしたり、印刷して安全な場所に置いたり、メールで自分に送ったりすることができます。携帯電話を持っていない場合は、本当に〜してもよいですか?

List of Backup Codes

その後、’I’m Ready, Close the Wizard’ボタンをクリックしてセットアップウィザードを終了します。

ログイン中の2要素認証の使用について

次回ログイン中、ユーザーには猶予期間終了の期限とともに、2要素認証の設定が必要である旨の通知が表示されます。

ボタンをクリックして今すぐ2FAを設定するか、次回のログイン時にリマインドされるかを選択できる。

Notification About Needing to Set Up 2FA

ユーザーが「Configure 2FA now(今すぐ2FAを設定する)」ボタンをクリックすると、前のセクションで自分のユーザーアカウントに2FAを設定したときと同じ手順が表示されます。

2要素認証の設定後にログインすると、通常通りWordPressのログイン画面が表示されます。しかし、ユーザー名とパスワードを入力すると、2つ目の画面が表示され、認証アプリからコードを要求されます。

Users Must Enter an Authentication Code Before Logging In

ログインする前に、携帯電話のアプリからコードを入力する必要があります。また、携帯電話を持っていない場合は、バックアップコードを入力することもできる。

これにより、サイトの安全性が高まります。ハッカーがユーザーのユーザー名とパスワードを知ったとしても、そのユーザーの携帯電話にもアクセスできない限り、ログインすることはできません。

ヒント:WordPressサイトがカスタムログインフォームページを使用している場合、ユーザーがWordPress管理エリアにアクセスせずに2要素認証の設定を管理できるカスタムページを作成することもできます。

方法2:2要素認証を追加する 2要素認証を使用する

この方法では、すべてのユーザーに2要素ログインを強制する権限がありませんので、柔軟性に欠けます。各ユーザーが自分で設定し、プロフィールから無効化する必要があります。しかし、自分のアカウントにだけ2FAを設定したいのであれば、迅速で簡単な方法です。

まず、Two-Factorプラグインをインストールして有効化する必要があります。詳しくは、WordPressプラグインのインストール方法のステップバイステップガイドをご覧ください。

有効化した後、ユーザー ” プロフィールページにアクセスし、「2ファクターオプション」セクションまでスクロールダウンする必要があります。

Two Factor options

ここから、二要素ログインオプションを設定する必要があります。プラグインでは、メール、認証アプリ、FIDO U2F Security Keysの方法を使用できます。

認証アプリを使用する方法をお勧めします。Google Authenticator、Authy、LastPass Authenticatorなどの認証アプリを使って画面のQRコードをスキャンするだけです。

Click the Scan QR Code Button

QRコードをスキャンすると、アプリに認証コードが表示されるので、プラグインオプションに入力して「送信」ボタンをクリックする。

プラグインがシークレットキーを設定します。このキーは設定ページからいつでもリセットでき、QRコードを再スキャンできます。

Secret keys configured

ページ下部の「プロフィールを更新」ボタンをクリックし、設定を保存することをお忘れなく。

これでWordPressサイトにログインするたびに、アプリが生成した認証コードをスマホに入力するよう求められます。

Add two factor authentication code to continue

WordPressの2要素認証(2FA)に関するFAQ

WordPressの2段階ログインについて、よくある質問にお答えします。

1.携帯電話にアクセスできない場合、2FAでログインするにはどうすればよいですか?

Authyのようなクラウドバックアップ設定付きの認証アプリを使用している場合は、ラップトップにもアプリをインストールできます。

これにより、携帯電話を持っていないときでも認証コードにアクセスできる。また、携帯電話を買い替えた際にも、シークレットキーを簡単に復元することができます。

多くの認証アプリでは、バックアップコードを生成することもできます。これらのコードは、携帯電話にアクセスできないときにワンタイムパスコードとして使用できます。

2.認証アプリからコードなしでログインするには?

携帯電話、ラップトップ、バックアップコードにアクセスできない場合は、2FAプラグインを無効化することでしかログインできない。

管理エリアにアクセスできないときにWordPressのプラグインをすべて無効化する方法については、こちらのガイドをご覧ください。

すべてのプラグインを無効化すると、2要素認証プラグインも無効化され、WordPressサイトにログインできるようになります。ログイン中、プラグインを再度有効にし、2要素認証設定をリセットすることができます。

3.WordPressの管理フォルダーをパスワードで保護する必要がありますか?

ウェブサイトのセキュリティは、HTTPSの使用や安全なWordPressホスティングサービスなどの基本的なことから始めて、ウェブサイトを保護するために複数のセキュリティ層を持つ場合に最も効果的です。

二要素認証はWordPressログインの安全性を高めますが、WordPress管理ディレクトリをパスワードで保護することで、さらに安全性を高めることができます。これは、ユーザーが最初にユーザー名とパスワードを入力しない限り、ログインページにアクセスできないことを意味します。

WordPressログインの保護に関するエキスパートガイド

WordPressに2要素認証を追加する方法はお分かりいただけたと思いますが、WordPressログインをより安全にするための他の投稿もご覧ください。

この投稿が WordPress ログインに 2 要素認証を追加するのにお役に立てば幸いです。WordPress サイトに無料の SSL 証明書を取得する方法や、WordPress セキュリティプラグインのエキスパートによるベストセレクションもご覧ください。

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

情報開示 私たちのコンテンツは読者支援型です。これは、あなたが私たちのリンクの一部をクリックした場合、私たちはコミッションを得ることができることを意味します。 WPBeginnerの資金源 をご覧ください。3$編集プロセスをご覧ください。

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

究極のWordPressツールキット

ツールキットへの無料アクセス - すべてのプロフェッショナルが持つべきWordPress関連製品とリソースのコレクション!

Reader Interactions

20件のコメント返信を残す

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Felix says

    Cloud Syncing feature is now available at Google Authenticator. So, you won’t lose your accounts even if the phone is lost. For me, personally, I use Google Authenticator because it’s more convenient for me as a Google user.

  3. Moinuddin Waheed says

    two factor authentication is a must have things for the security of the websites.
    I have used it after learning a horrible lesson from a shared hosting account. my website was corrupted and malfunctioned and I had no clue what to do.
    when I made fresh installation the first thing I did to enable two factor authentication.
    this might at times seem an additional thing to do while logging in but it saves from a large headache that may cause if account is compromised.
    I want to know how the hackers or brute force attackers target a website?
    do they have database of websites stolen from hosting providers or just they do it randomly?

    • WPBeginner Support says

      There are different ways that sites are targeted but in the long run it is random.

      管理者

  4. Jiří Vaněk says

    I use two-factor authentication for administration integrated into the Wordfence plugin, which also serves for overall website protection. Additionally, I would recommend changing the URL address from wp-admin to something custom for added security.

    • WPBeginner Support says

      While that can be done we would warn against it. If you change the wp-admin url it can cause conflicts with some plugins and can make any site troubleshooting more difficult.

      管理者

      • Jiří Vaněk says

        Okay, thank you for the advice. I’ve changed the URL on many websites, and so far, I’ve never had any issues with it. It might also be because I use a very similar, trusted series of plugins on many of these sites that I’m familiar with. Nevertheless, thanks for the warning.

  5. J P Welch says

    I’d like to use 2FA on one link to several pages of data, but not the entire site. Is that possible?

    • WPBeginner Support says

      While possible, we don’t have a recommended plugin to achieve that at the moment, we will be sure to keep an eye out!

      管理者

  6. Skye says

    What if you migrate your website to a different domain- will your 2FA be linked to the old domain? Would you have to deactivate it before migrating your website to the new host and domain?

  7. Bikash Rai says

    How to remove two factor authentication that I get every time I login. I want to simply get rid of this thing.
    Thanks in advance!

    • WPBeginner Support says

      It would depend on which method you used to set it up, if you used the plugin then you would remove the plugin to remove the two factor authentication. Should you be unable to remove it, if you reach out to your hosting provider they should be able to assist.

      管理者

  8. MuZa says

    Hey please update this post. This plugin is too old and not tested on three major updates of WordPress.

    • WPBeginner Support says

      Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated :)

      管理者

  9. Lisa Smith says

    Found this to be really helpful related to Two Factor, but FYI – the Two Factor SMS plugin hasn’t been updated in several WP versions.

    • WPBeginner Support says

      Thank you for letting us know, we’ll be sure to take a look into this for other plugin options :)

      管理者

  10. Anna Walton says

    I’ve followed your exact instructions just now to set up 2FA with Twilio. I logged out after finishing the set-up as per the article, and now I can’t get back into my site! I get the code from Twilio, but it says there’s an error! Unfortunately, I’d not yet set up the 2FA with the authenticator app, as I followed the steps in the article, which was to log out first to see it working. Can you advise please? I’ve checked your article https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, but this doesn’t seem to cover getting locked out due to 2FA error. I use your site loads, and think your guidance is great! Please help on this one!!

    • WPBeginner Support says

      Hi Anna,

      You can manually delete the plugin using FTP. Connect to your website and go to /wp-content/plugins/ folder and then delete two-factor and two-factor-sms folders. You can always reinstall the plugins after login.

      管理者

  11. Patrick Bartkus says

    FreeOTP is an Open Source alternative to Google Authenticator. It is not controlled by Google and is maintained by Red Hat under the Apache 2.0 license. It is available for iOS and Android. It also works on Google sites.

返信を残す

コメントありがとうございます。すべてのコメントは私たちのコメントポリシーに従ってモデレートされ、あなたのメールアドレスが公開されることはありませんのでご留意ください。名前欄にキーワードを使用しないでください。個人的で有意義な会話をしましょう。