WordPressログインに『Authy』2段階認証を設定 プラグイン『Google Authenticator WordPress Two Factor Authentication (2FA)』編 WordPressのログインに『Authy』による2段階認証を適用する手順、2FA編 評価:4 UZUREA編集部 公開:2020年12月29日(4年前) / 更新:2021年3月27日 コメント 0件 Web技術レビューWordPressセキュリティプラグイン SNS X Facebook B! はてブ Pocket 当記事の内容および記事中のリンクには、広告目的や当サイトが収益を得るためのものが含まれており、これらの収益によってuzurea.netは運営されています。 当記事では、2段階認証アプリ『Authy(オーシィ)』を用い、WordPressで構築したWebサイトのログイン画面に2段階認証を適用し、セキュリティ強化する方法を解説します。 uzurea.netでは過去に他の記事で、同じく2段階認証機能である『Google Authenticator(グーグル・オーセンティケーター)』をWordPressに設定する方法についても解説していますが、この『Authy』は『Google Authenticator』よりも便利な点が多数あるのでそれらの解説、そして導入(インストール)方法、設定方法を順に解説していきます。 WordPressプラグイン『Google Authenticator』設定と機能解説 uzurea.net 記事の索引1 2段階認証とは?2 『Google Authenticator』と『Authy』の主な違い3 『Authy』による2段階認証をWordPressに導入する手順3.1 プラグイン『Google Authenticator WordPress Two Factor Authentication』 をインストール3.2 プラグインの各種設定3.3 『Authy』アプリをスマートフォンにインストール3.4 WordPress上での最終設定4 デスクトップ版アプリでもAuthyトークンを発行可能4.1 2台目以降の端末でAuthyアカウントへのログインが出来ない場合5 まとめと、総合評価5.1 二段階認証『Authy』の評価5.2 WordPressプラグイン『Google Authenticator WordPress Two Factor Authentication (2FA)』の評価6 関連リンク 2段階認証とは? ログイン時に必要なIDやパスワードに加えて『有効期限が限られたコード(数字などの文字列)』を、アプリケーションやSMS、emailなどで発行し、不正ログインの防止=セキュリティの強化を行う仕組み。 IDとパスワードのほか、スマートフォンや、e-mail、専用の端末などで有効期限の限られたトークンを発行 スマートフォン用アプリを利用した2段階認証としては、Googleが開発した『Google Authenticator』が有名ですが、実は同サービスには不便な点がいくつか存在します。 『Google Authenticator』と『Authy』の主な違い 『Google Authenticator』を使った2段階認証は、1アカウントに対して1台のスマートフォン端末でしか利用できないという制約があります。そのため、複数人で同じアカウントを利用するといった運用をしているWebサイトには不向きです。また認証を設定したアプリをインストールしたスマートフォンが壊れたり・紛失してしまった場合、(WordPressであれば)他に管理者権限のあるアカウントなどが無い場合、復旧にはかなり面倒な作業が必要になるでしょう。 反面、『Authy』はひとつのアカウントと複数の端末(のアプリ)とを連携させることができます。また、バックアップパスワードを作成しておく事で、万が一の場合の復旧もしやすくなっています。さらに、デスクトップ版アプリケーションも提供されているという点も便利です。 デメリット挙げるとすれば、まず複数の端末で利用できるという点やバックアップ機能などは、運用次第ではセキュリティリスクの増大にもつながります。また、当記事執筆時点(2020年12月26)ではスマートフォン版、デスクトップ版共に日本語には非対応な事もあり、英語が苦手な方にとってはやや利用難度が上がるかもしれません。 サービス名 Authy(オーシィ) Google Authenticator(グーグル オーセンティケーター) 2段階認証 ○ ○ 複数端末との連携 ○ × 日本語対応 × ○ バックアップ機能 ○ × AuthyとGoogle Authenticatorの機能比較 『Authy』による2段階認証をWordPressに導入する手順 さて、本題であるWordPressアカウントへの『Authy』の設定方法を解説します。 『Authy』に対応したWordPress用プラグインはいくつか公開されていますが、今回は『Google Authenticator – WordPress Two Factor Authentication (2FA)』(別名:miniOrange 2 Factor Authentication)を使用します。 ※プラグイン名が紛らわしいので『miniOrange 2 Factor Authentication』に統一してくれないかな、と思うのですが。 WordPressプラグイン 『Google Authenticator – WordPress Two Factor Authentication (2FA)』(別名:miniOrange 2 Factor Authentication) このプラグインは先に解説した、Google Authenticatorや、Authy、そして当プラグインを制作・公開している会社(miniOrange)による独自二段階認証miniOrange Authenticatorなど、多数の2段階認証に対応したWordPress用プラグインです。 プラグイン『Google Authenticator WordPress Two Factor Authentication』 をインストール 2FAは、WordPressの管理画面から簡単にインストールできます。WordPress管理画面の左メニュー [プラグイン] > [新規追加]から『Google Authenticator WordPress Two Factor Authentication』(コピペ推奨)で検索し、『今すぐインストール』をクリックするだけです。 Google Authenticator – WordPress Two Factor Authentication (2FA) をWordPressプラグインディレクトリからインストール ダウンロードしFTP経由でインストールしたい、という場合には下記のページからダウンロードして下さい。 WordPress プラグインディレクトリGoogle Authenticator – WordPress Two Factor Authentication (2FA)解説&ダウンロードページ インストール後は『有効化』すれば、インストール完了です。 WordPress管理画面から、Google Authenticator – WordPress Two Factor Authentication (2FA) を有効化 有効化すると、自動的にプラグインの設定画面に推移し下記のようなポップアップが(場合によっては複数)表示されますが、ひとまず右上の×ボタンをクリックし閉じてよいでしょう。 プラグイン有効化後に表示される画面 プラグインの各種設定 『Google Authenticator – WordPress Two Factor Authentication』はWordPress管理画面上では『miniOrange 2 Factor Authentication』という名前で表示されます(ああ、紛らわしい……)。 管理画面上では『miniOrange 2 Factor Authentication』と表示される『Google Authenticator – WordPress Two Factor Authentication』プラグイン 一番上の『Two Factor』を選択し、下記項目の中から左上の『Google Authenticator』と記載のある個所の『Configure』をクリックします。 『Google Authenticator』と記載のある個所の『Configure』をクリック 推移した画面で[Step-1]>[1. Choose an Authenticator app]から[Authy Authenticator]を選択します。 [1. Choose an Authenticator app]の欄はデフォルトで[Google Authenticator]になっているので…… [Authy Authenticator]に変更 さらに、画面を下に進めるとQRコードの下に入力欄があるので、任意の文字(自分のサイト名など)を入力し[Save App Name]をクリックして保存しておきます。この箇所を今の所日本語では正しく設定できなかったので英数字で入力しておくのが良いでしょう。 [Save App Name]にはわかりやすい名前を英数字で入力 『Authy』アプリをスマートフォンにインストール 次に、手元のスマートフォンからワンタイムトークンを作成するためののアプリ『Twillio Authy』をインストールします。 iOS用、Android用がそれぞれ提供されています。 iOS用 アプリTwillio AuthyをApp Storeでダウンロード Android用 アプリTwillio AuthyをGoogle Playでダウンロード アプリ Twillio Authy インストールが完了したら、アプリを起動し『電話番号』と『メールアドレス』を入力しAuthyのユーザー登録を行います。この時、SMSを受信できる携帯電話番号(※)を入力しておけば、Authyアカウントの確認用コードの送信方法選択画面がより簡単です。 ※『Phone Call』と『SMS』のどちらかを選択する必要があるので、『SMS』を選択し届いた6桁のコードを入力でOK スマートフォンの電話番号を入力しSMSでの認証を選択が楽 以上でQRコードを読み取れるようになるので、続いて画面下部の『Scan QR Code』をタップ。 画面下部の『Scan QR Code』をタップ カメラが起動するので、WordPressで表示された先ほどのQRードを読み取る。 自動的にLOGOが設定されるので変更したければ、[Edit logo]である程度変更可能 アプリにアカウントが読み込まれるので、『Enter Accou Nickname』で表示名を設定し『Save』ボタンをタップすると、読み込んだアカウントと6桁のワンタイムトークンが表示されます。 ワンタイムトークンが表示される。パスワードは30秒毎に自動更新される WordPress上での最終設定 WordPress管理画面で、6桁のワンタイムトークンを画面左側、Step2の『Code:』に入力しその下の『Verify and Save』ボタンをクリック。なお、入力中にスマートフォンに表示されている数字が切り替わった場合は、新しいトークンを入力します。 Step2の『Code:』欄にワンタイムトークンを入力 ワンタイムトークンを入力するとと、下記のポップアップウインドウが表示されます。 『2FA Setup Successful. 』のメッセージが表示され、設定が完了 このような画面が表示されたら、無事に2段階認証の設定とテストが完了。次回からWordPressにログインする際に下記のような2段階認証画面が表示されるようになるので、一度ログアウトしテストしてみましょう。 WordPressのIDとパスワードを入力後に、Authyのトークン入力用ページが追加されるので、ここでスマートフォンアプリの該当アカウントを選択し、表示されるトークンを入力しないとログインが出来ないようになります。 Twillio Authyから、アカウントを選択してトークンを表示し……Authyのトークン入力用ページに入力し「Validate」ボタンをクリック デスクトップ版アプリでもAuthyトークンを発行可能 Authyのワンタイムトークンは、デスクトップ版の専用アプリケーションからも表示させる事ができます。これにより、手元にスマートフォンが持ち込めないような環境や、作業時スマートフォンに持ち替えるのが手間……というケースで重宝します。 なお、Google Chrome用拡張機能(拡張機能の配布ページ)も提供されていましたが、2020年6月を以て、Google Chrome拡張機能のサポートを終了する事をアナウンス(公式サイト記事)しています。デスクトップは環境で利用する場合は下記で紹介している、専用アプリケーションの利用を推奨します。また、すでにChrome用拡張機能を利用しているユーザーは、早めに乗り換える方が良いでしょう。 Windows/MacOS用アプリケーションはAuthy公式サイトのダウンロードページ にアクセスし、ページ下部から入手します。 Authy公式サイトのダウンロードページ ここでデスクトップ版のアプリケーションを入手できる。 ダウンロードしたファイルを起動すると、アカウントのログインを経て、『Authy Desktop』版が利用できるようになります。主なな使い方はスマートフォン版と変わりませんので、当記事での仔細解説は省略します。 2台目以降の端末でAuthyアカウントへのログインが出来ない場合 デスクトップ版アプリケーションの追加や、2台目、3台目の端末でAuthyアカウントを設定しようとした際に、エラーが表示される場合があります。 エラー内容によりますが、AuthyアカウントのMulti-Deviceが無効になっている場合には、1台目に設定した端末のアプリケーションで[Setting]>[Devices]>[(Allow)Multi-device] を確認し、無効(スイッチがOFF、またはDisable)となっていれば、[有効]にする事で解決します。 2台目の端末を設定中に……マルチデバイス機能が無効になっている、というエラーが表示されたら……スマートフォンアプリであれば画面右上の (1)設定(歯車)アイコンをタップし右下の(2)Dviceseをタップし、最上部の(3)Allow Multi-Deviceを有効にする まとめと、総合評価 以上、2段階認証アプリ『Authy』をWordPressログイン時に適用する方法について解説しました。 『Authy』は『Google Authenticator』ではできなかった複数端末の登録ができるという点や、PCから認証コードを取得できる点が特に便利です。 これからWordPressへの2段階認証を導入したい方はもちろん、『Google Authenticator』に不便さを感じていた方やにも参考になれば幸いです。 二段階認証『Authy』の評価 インストールのしやすさ★★★★☆(4.5)スマートフォンアプリ、デスクトップ版アプリ共に数ステップでインストール可能設定の柔軟性★★★★(4.0)Authyのアカウントを取得する事で、バックアップやデータの移行など柔軟に行える機能★★★★☆(4.5)複数端末での2段階認証連携ができるのは便利。価格★★★★★(5)無料で使用できる総合評価★★★★☆(4.5)2段階認証としては優秀なサービスとアプリ。Google Authenticatorからの乗り換えもオススメAuthy 総合評価 WordPressプラグイン『Google Authenticator WordPress Two Factor Authentication (2FA)』の評価 インストールのしやすさ★★★★(4)プラグインディレクトリから簡単にインストール・有効化できるが、日本語対応しておらず、UIも分かりにくく、英語が苦手な人にとってはやや難解かも。設定の柔軟性★★★(3.5)無料でも、必定十分な設定が可能。機能★★★★(4)Authy、Google Authenticator以外にも、SMS、Emailなどの二段階認証に対応している。価格★★★★(4)当記事で解説した内容を含め、基本的な二段階認証機能は無料で使用できるが、より高機能な機能や設定を解放する有償プラン(年間49ドル〜)も用意されている。大規模なWebサイトで、このプラグインの提供する機能が必要であれば。総合評価★★★★(4.0)UIが洗練されておらず、万人にすすめられる……とは言い難い。プラグインの名前が紛らわしい。miniOrange 2FAに統一してほしい。とはいえ、Authyでの二段階認証をWordPressに導入するならお勧めできるプラグインのひとつ。Authy 総合評価 関連リンク Authy公式サイトWordPress公式プラグインディレクトリ 『Google Authenticator – WordPress Two Factor Authentication』miniOrange コーポレートサイト 現場のプロがやさしく書いたWebサイトの分析・改善の教科書【改訂2版】 ¥2,900 (2024/10/09 16:53:52時点 Amazon調べ-詳細) Amazonでのレビューを見る Amazonで探す 楽天市場で探す Yahoo!ショッピングで探す メルカリで探す 現役LPO会社社長から学ぶ コンバージョンを獲る ランディングページ ¥1,811 (2024/10/09 16:53:53時点 Amazon調べ-詳細) Amazonでのレビューを見る Kindle Amazonで探す 楽天市場で探す Yahoo!ショッピングで探す メルカリで探す [改訂版]WordPress 仕事の現場でサッと使える! デザイン教科書[WordPress 5.x対応版] Webデザイナー養成講座 ¥3,058 (2024/10/09 15:42:50時点 Amazon調べ-詳細) Amazonでのレビューを見る Kindle Amazonで探す 楽天市場で探す Yahoo!ショッピングで探す メルカリで探す