Googleの二段階認証ソフトウェア『Google Authenticator(グーグル・オーセンティケーター)』。Google関連のシステムだけでなくさまざまなWebサービスに導入され、ログイン時のセキュリティ向上に役立てられています。
そして、この二段階認証機能(2要素認証=2FAとも)をWordPress管理画面ログイン画面にも適用できるセキュリティ強化プラグイン(名称はそのまま Google Authenticator ……。)も有志によて開発・公開されています。当記事ではこのプラグインの設定と、スマートフォンアプリの連動、ログイン確認までの流れを解説します。
記事の索引 [索引非表示]
Google Authenticatorについて
『Google Authenticator』は、Googleが開発した二段階認証システムみです。数字6ケタのコードを、事前に登録したスマートフォンで生成し、ログイン時にID&パスワードの他にこのコードを入力する、という手順を増やすことでセキュリティを向上させることができます。
この機能をWordPressのログイン時にも利用できるようにする……というのが、当記事でご紹介するWPプラグインのGoogle Authenticator(以下プラグインについてはWP Google Authencatorと記載)です。
なお、利用にあたっての前提条件として、WordPressで構築されたWebサイトの他、スマートフォン(iOS/Android)に『Google Authenticator』のアプリをインストールする事が必要になります。
インストールの手順〈WordPress側〉
WP Google Authencatorは、WordPressの公式プラグインディレクトリに登録されていますので、管理画面からインストールできます。
WordPress管理画面の左メニュー [プラグイン] > [新規追加]から『Google Authenticator』と検索し、『今すぐインストール』をクリックするだけです。
ダウンロードしFTP経由でインストールしたい、という場合には下記のページからダウンロードして下さい。
インストール後は『有効化』すれば、インストール完了です。
コード生成用のアプリをインストール〈スマートフォン側〉
続いて、認証コード生成用アプリケーションをスマートフォンにインストールします。
※日本語のAndroidアプリは『Google認証システム』という名称に訳されています。
上記リンク、またはApp Store(Google Play)で検索し、アプリケーションをスマートフォンにインストールします。
インストールが完了後アプリを起動すると下記のような画面が表示されるので、画面右上のプラス『+』のアイコンをタップします。
画面下部に、『バーコードをスキャン』、『手動で入力』という選択肢が表示されるので、一旦この画面を残したままWordPressのアカウントに二段階認証設定を行います。
WordPressアカウントで二段階認証を有効化〈WordPress側〉
WordPress管理画面の左メニューから[ユーザー] > [ユーザー一覧]から、二段階認証を設定したいアカウントのプロフィール画面に進み……
![WordPressの管理画面、[ユーザー] > [ユーザー一覧]から、二段階認証を設定したいアカウントのプロフィール画面へ](https://uzurea.net/cwp/wp-content/uploads/2020/11/Google-Authenticator4-scaled.jpeg)
二段階認証を設定したいアカウントのプロフィール画面へ
プロフィール画面の下部に『Google Authenticator Settings』の設定項目が追加されています。
『設定』画面の項目は以下の通りです。
| Active (有効化) |
チェックを入れることで、このプロフィールのユーザーだけ二段階認証が有効になります。 |
|---|---|
| Relaxed mode (リラックスモード) |
ワンタイムパスワードの有効時間を、デフォルトの30秒から4分へと延長することができます。 |
| Description (概要) |
スマートフォンのアプリ画面に表示される識別のための名前。 デフォルトではサイトのタイトルが入っています。任意で変更してもOK。 |
| Secret (シークレットキー) |
アプリと、アカウントを紐づけるためのシークレットキー。 QRコードを表示することも可能(後述) |
ログインユーザーが1つしかない場合、Activeにした後にスマートフォンアプリでの認証設定を完了しないままでログアウトしないようにご注意ください。ログインできなくなり復旧に手間どる事になります。
『Active』のチェックを入れ、WordOressアカウントとアプリを連動させるために『Secret』の『Show/Hide QR Code』をクリックしQRコードを表示させます。
『Secret』の『Show/Hide QR Code』をクリックしQRコードを表示 『Show/Hide QR Code』をクリックしQRコードが表示される
QRコードを読み取り連動完了〈スマートフォン側〉
ここで、スマートフォンアプリの『バーコードをスキャン』をタップし、上記手順で表示されたQRコードを読み込みます。
『バーコードをスキャン』をタップ
※もし、QRコードの読み込みが出来ない端末の場合は、『手動で入力』から追加することも可能です。この場合、WordPressアカウント画面のSecretに記載されている英数字のシークレットキーと、WorsPressアカウントのメールアドレスを入力します。
シークレットキーとメールアドレスで
連動させることも可能
以上で、アプリにWordPressのアカウントが追加されます。
WordPressアカウントが追加され、
ランダムな6桁の数字が表示されはじめる。
以上でアカウントとアプリともに『Google Authenticator』の設定は完了です。スマホアプリの画面には追加されたWordPressアカウントと、ランダムな6桁の数字が表示されているはずです。この6桁な数字は通常30秒毎に切り替わります。
WordPressアカウントのログインテスト
二段階認証が有効になっているアカウントでWordPressを一旦ログアウトし、ログイン画面を表示するとパスワード欄の下に『Google Authenticator code』専用の入力欄が追加表示されます。
Google Authenticator のコードを入力する欄が追加されている
この時、IDとパスワードの他に、『Google Authenticatorアプリ』に表示されているる6桁の数字を入力しないとログインができないようになります。アプリに表示される数値は30秒ごとに切り替わるので、連動したスマートフォンを物理的に所持している人でないとログインができなくなる……という仕組みです。入力中にアプリ側の数字が切り替わってしまうとログインできないので、数字が赤く表示されている時は少し待って、切り替わった瞬間に入力することをオススメします。
まとめ、総合評価・関連リンク
以上、WordPressログイン画面に二段階認証を導入できるプラグイン『WP Google Authenticator』について解説しました。
不正ログインを防止し安全性を高める機能を簡単に追加できる便利なプラグインですが、連動したスマートフォンが手元にないと該当ユーザーは当然ログイン出来なくなります。
また、2020年11月現在Google Authenticatorアプリには、スマートフォンの機種変更などをした際にデータの引継ぎが出来ないという不便さが存在します。 この点を認識した上でので、セキュリティの向上を優先させるかどうか、使ってみて考えてみるのも良いでしょう。
| インストールの しやすさ |
★★★★☆(4.5) プラグインディレクトリから簡単にインストール・有効化できる。 |
|---|---|
| 設定の柔軟性 | ★★★(3) 設定項目はそこまで多くなく、シンプル。 プラグインとは別に手持ちのスマートフォンにアプリのインストール・設定を行う必要がある。 |
| 機能 | ★★★☆(3.5) 手軽にセキュリティを強化できる反面、手元にスマホがないとログインすることができないため、ログイン作業がやや手間に感じることもある。スマートフォンの機種変更などに際しては運用の注意を。 |
| 価格 | ★★★★☆(4.5) 無料で使用できる。 |
| 総合評価 | ★★★★(4.0) 設置の手間も少なく、手軽に利用できる。 WordPressで構築したWebサイトのセキュリティを向上させたければ、導入を検討しましょう。 |
