WordPressのログインに『Authy』による2段階認証を適用する手順、2FA編

当記事では、2段階認証アプリ『Authy（オーシィ）』を用い、WordPressで構築したWebサイトのログイン画面に2段階認証を適用し、セキュリティ強化する方法を解説します。

uzurea.netでは過去に他の記事で、同じく2段階認証機能である『Google Authenticator（グーグル・オーセンティケーター）』をWordPressに設定する方法についても解説していますが、この『Authy』は『Google Authenticator』よりも便利な点が多数あるのでそれらの解説、そして導入（インストール）方法、設定方法を順に解説していきます。

• WordPressプラグイン『Google Authenticator』設定と機能解説 uzurea.net

２段階認証とは？

ログイン時に必要なIDやパスワードに加えて『有効期限が限られたコード（数字などの文字列）』を、アプリケーションやSMS、emailなどで発行し、不正ログインの防止＝セキュリティの強化を行う仕組み。

スマートフォン用アプリを利用した2段階認証としては、Googleが開発した『Google Authenticator』が有名ですが、実は同サービスには不便な点がいくつか存在します。

『Google Authenticator』と『Authy』の主な違い

『Google Authenticator』を使った2段階認証は、1アカウントに対して1台のスマートフォン端末でしか利用できないという制約があります。そのため、複数人で同じアカウントを利用するといった運用をしているWebサイトには不向きです。また認証を設定したアプリをインストールしたスマートフォンが壊れたり・紛失してしまった場合、（WordPressであれば）他に管理者権限のあるアカウントなどが無い場合、復旧にはかなり面倒な作業が必要になるでしょう。

反面、『Authy』はひとつのアカウントと複数の端末（のアプリ）とを連携させることができます。また、バックアップパスワードを作成しておく事で、万が一の場合の復旧もしやすくなっています。さらに、デスクトップ版アプリケーションも提供されているという点も便利です。

デメリット挙げるとすれば、まず複数の端末で利用できるという点やバックアップ機能などは、運用次第ではセキュリティリスクの増大にもつながります。また、当記事執筆時点（2020年12月26）ではスマートフォン版、デスクトップ版共に日本語には非対応な事もあり、英語が苦手な方にとってはやや利用難度が上がるかもしれません。

サービス名	Authy (オーシィ）	Google Authenticator (グーグル オーセンティケーター)
2段階認証	○	○
複数端末との連携	○	×
日本語対応	×	○
バックアップ機能	○	×

『Authy』による2段階認証をWordPressに導入する手順

さて、本題であるWordPressアカウントへの『Authy』の設定方法を解説します。

『Authy』に対応したWordPress用プラグインはいくつか公開されていますが、今回は『Google Authenticator – WordPress Two Factor Authentication (2FA)』（別名：miniOrange 2 Factor Authentication）を使用します。

※プラグイン名が紛らわしいので『miniOrange 2 Factor Authentication』に統一してくれないかな、と思うのですが。

このプラグインは先に解説した、Google Authenticatorや、Authy、そして当プラグインを制作・公開している会社（miniOrange）による独自二段階認証miniOrange Authenticatorなど、多数の2段階認証に対応したWordPress用プラグインです。

プラグイン『Google Authenticator WordPress Two Factor Authentication』 をインストール

2FAは、WordPressの管理画面から簡単にインストールできます。WordPress管理画面の左メニュー [プラグイン] > [新規追加]から『Google Authenticator WordPress Two Factor Authentication』（コピペ推奨）で検索し、『今すぐインストール』をクリックするだけです。

ダウンロードしFTP経由でインストールしたい、という場合には下記のページからダウンロードして下さい。

インストール後は『有効化』すれば、インストール完了です。

有効化すると、自動的にプラグインの設定画面に推移し下記のようなポップアップが（場合によっては複数）表示されますが、ひとまず右上の×ボタンをクリックし閉じてよいでしょう。

プラグインの各種設定

『Google Authenticator – WordPress Two Factor Authentication』はWordPress管理画面上では『miniOrange 2 Factor Authentication』という名前で表示されます（ああ、紛らわしい……）。

一番上の『Two Factor』を選択し、下記項目の中から左上の『Google Authenticator』と記載のある個所の『Configure』をクリックします。

推移した画面で[Step-1]>[1. Choose an Authenticator app]から[Authy Authenticator]を選択します。

さらに、画面を下に進めるとQRコードの下に入力欄があるので、任意の文字（自分のサイト名など）を入力し[Save App Name]をクリックして保存しておきます。この箇所を今の所日本語では正しく設定できなかったので英数字で入力しておくのが良いでしょう。

『Authy』アプリをスマートフォンにインストール

次に、手元のスマートフォンからワンタイムトークンを作成するためののアプリ『Twillio Authy』をインストールします。 iOS用、Android用がそれぞれ提供されています。

インストールが完了したら、アプリを起動し『電話番号』と『メールアドレス』を入力しAuthyのユーザー登録を行います。この時、SMSを受信できる携帯電話番号（※）を入力しておけば、Authyアカウントの確認用コードの送信方法選択画面がより簡単です。

※『Phone Call』と『SMS』のどちらかを選択する必要があるので、『SMS』を選択し届いた6桁のコードを入力でOK

以上でQRコードを読み取れるようになるので、続いて画面下部の『Scan QR Code』をタップ。

カメラが起動するので、WordPressで表示された先ほどのQRードを読み取る。

アプリにアカウントが読み込まれるので、『Enter Accou Nickname』で表示名を設定し『Save』ボタンをタップすると、読み込んだアカウントと6桁のワンタイムトークンが表示されます。

WordPress上での最終設定

WordPress管理画面で、６桁のワンタイムトークンを画面左側、Step2の『Code：』に入力しその下の『Verify and Save』ボタンをクリック。なお、入力中にスマートフォンに表示されている数字が切り替わった場合は、新しいトークンを入力します。

ワンタイムトークンを入力するとと、下記のポップアップウインドウが表示されます。

このような画面が表示されたら、無事に2段階認証の設定とテストが完了。次回からWordPressにログインする際に下記のような2段階認証画面が表示されるようになるので、一度ログアウトしテストしてみましょう。

WordPressのIDとパスワードを入力後に、Authyのトークン入力用ページが追加されるので、ここでスマートフォンアプリの該当アカウントを選択し、表示されるトークンを入力しないとログインが出来ないようになります。

• 

• 

デスクトップ版アプリでもAuthyトークンを発行可能

Authyのワンタイムトークンは、デスクトップ版の専用アプリケーションからも表示させる事ができます。これにより、手元にスマートフォンが持ち込めないような環境や、作業時スマートフォンに持ち替えるのが手間……というケースで重宝します。

なお、Google Chrome用拡張機能（拡張機能の配布ページ）も提供されていましたが、2020年6月を以て、Google Chrome拡張機能のサポートを終了する事をアナウンス（公式サイト記事）しています。デスクトップは環境で利用する場合は下記で紹介している、専用アプリケーションの利用を推奨します。また、すでにChrome用拡張機能を利用しているユーザーは、早めに乗り換える方が良いでしょう。

Windows/MacOS用アプリケーションはAuthy公式サイトのダウンロードページ にアクセスし、ページ下部から入手します。

ダウンロードしたファイルを起動すると、アカウントのログインを経て、『Authy Desktop』版が利用できるようになります。主なな使い方はスマートフォン版と変わりませんので、当記事での仔細解説は省略します。

2台目以降の端末でAuthyアカウントへのログインが出来ない場合

デスクトップ版アプリケーションの追加や、2台目、3台目の端末でAuthyアカウントを設定しようとした際に、エラーが表示される場合があります。

エラー内容によりますが、AuthyアカウントのMulti-Deviceが無効になっている場合には、1台目に設定した端末のアプリケーションで[Setting]>[Devices]＞[（Allow）Multi-device] を確認し、無効（スイッチがOFF、またはDisable）となっていれば、[有効]にする事で解決します。

• 

• 

• 

• 

まとめと、総合評価

以上、2段階認証アプリ『Authy』をWordPressログイン時に適用する方法について解説しました。

『Authy』は『Google Authenticator』ではできなかった複数端末の登録ができるという点や、PCから認証コードを取得できる点が特に便利です。

これからWordPressへの2段階認証を導入したい方はもちろん、『Google Authenticator』に不便さを感じていた方やにも参考になれば幸いです。

二段階認証『Authy』の評価

インストールのしやすさ	★★★★☆（4.5） スマートフォンアプリ、デスクトップ版アプリ共に数ステップでインストール可能
設定の柔軟性	★★★★（4.0） Authyのアカウントを取得する事で、バックアップやデータの移行など柔軟に行える
機能	★★★★☆（4.5） 複数端末での2段階認証連携ができるのは便利。
価格	★★★★★（5） 無料で使用できる
総合評価	★★★★☆（4.5） 2段階認証としては優秀なサービスとアプリ。 Google Authenticatorからの乗り換えもオススメ

WordPressプラグイン『Google Authenticator WordPress Two Factor Authentication (2FA)』の評価

インストールのしやすさ	★★★★（4） プラグインディレクトリから簡単にインストール・有効化できるが、 日本語対応しておらず、UIも分かりにくく、英語が苦手な人にとってはやや難解かも。
設定の柔軟性	★★★（3.5） 無料でも、必定十分な設定が可能。
機能	★★★★（4） Authy、Google Authenticator以外にも、SMS、Emailなどの二段階認証に対応している。
価格	★★★★（4） 当記事で解説した内容を含め、基本的な二段階認証機能は無料で使用できるが、より高機能な機能や設定を解放する有償プラン(年間49ドル〜)も用意されている。大規模なWebサイトで、このプラグインの提供する機能が必要であれば。
総合評価	★★★★（4.0） UIが洗練されておらず、万人にすすめられる……とは言い難い。プラグインの名前が紛らわしい。miniOrange 2FAに統一してほしい。 とはいえ、Authyでの二段階認証をWorｄPressに導入するならお勧めできるプラグインのひとつ。

関連リンク

• Authy公式サイト
• WordPress公式プラグインディレクトリ 『Google Authenticator – WordPress Two Factor Authentication』
• miniOrange コーポレートサイト