WordPressプラグイン『Google Authenticator』設定と機能解説。二段階認証でセキリュティ向上 WordPressに二段階認証を 『Google Authenticator』プラグイン設定方法 評価:4 UZUREA編集部 公開:2020年11月26日(4年前) / 更新:2021年2月3日 コメント 0件 Web技術レビューgoogleweb制作WordPressアプリセキュリティ SNS X Facebook B! はてブ Pocket 当記事の内容および記事中のリンクには、広告目的や当サイトが収益を得るためのものが含まれており、これらの収益によってuzurea.netは運営されています。 Googleの二段階認証ソフトウェア『Google Authenticator(グーグル・オーセンティケーター)』。Google関連のシステムだけでなくさまざまなWebサービスに導入され、ログイン時のセキュリティ向上に役立てられています。 そして、この二段階認証機能(2要素認証=2FAとも)をWordPress管理画面ログイン画面にも適用できるセキュリティ強化プラグイン(名称はそのまま Google Authenticator ……。)も有志によて開発・公開されています。当記事ではこのプラグインの設定と、スマートフォンアプリの連動、ログイン確認までの流れを解説します。 記事の索引1 Google Authenticatorについて1.1 インストールの手順〈WordPress側〉1.2 コード生成用のアプリをインストール〈スマートフォン側〉1.3 WordPressアカウントで二段階認証を有効化〈WordPress側〉1.4 QRコードを読み取り連動完了〈スマートフォン側〉1.5 WordPressアカウントのログインテスト2 まとめ、総合評価・関連リンク Google Authenticatorについて 『Google Authenticator』は、Googleが開発した二段階認証システムみです。数字6ケタのコードを、事前に登録したスマートフォンで生成し、ログイン時にID&パスワードの他にこのコードを入力する、という手順を増やすことでセキュリティを向上させることができます。 この機能をWordPressのログイン時にも利用できるようにする……というのが、当記事でご紹介するWPプラグインのGoogle Authenticator(以下プラグインについてはWP Google Authencatorと記載)です。 なお、利用にあたっての前提条件として、WordPressで構築されたWebサイトの他、スマートフォン(iOS/Android)に『Google Authenticator』のアプリをインストールする事が必要になります。 インストールの手順〈WordPress側〉 WP Google Authencatorは、WordPressの公式プラグインディレクトリに登録されていますので、管理画面からインストールできます。 WordPress管理画面の左メニュー [プラグイン] > [新規追加]から『Google Authenticator』と検索し、『今すぐインストール』をクリックするだけです。 WP Google Authenticator をプラグインディレクトリからインストール ダウンロードしFTP経由でインストールしたい、という場合には下記のページからダウンロードして下さい。 WP Google AuthenticatorWordPress 公式プラグインディレクトリ 紹介ページ インストール後は『有効化』すれば、インストール完了です。 WordPress管理画面から、WP Google Authenticator を有効化 コード生成用のアプリをインストール〈スマートフォン側〉 続いて、認証コード生成用アプリケーションをスマートフォンにインストールします。 ※日本語のAndroidアプリは『Google認証システム』という名称に訳されています。 iOS用 アプリGoogle AuthenticatorをApp Storeでダウンロード Android用 アプリGoogle 認証システムをGoogle Playでダウンロード 上記リンク、またはApp Store(Google Play)で検索し、アプリケーションをスマートフォンにインストールします。 App Storeで検索したアプリをインストール インストールが完了後アプリを起動すると下記のような画面が表示されるので、画面右上のプラス『+』のアイコンをタップします。 画面下部に、『バーコードをスキャン』、『手動で入力』という選択肢が表示されるので、一旦この画面を残したままWordPressのアカウントに二段階認証設定を行います。 WordPressアカウントで二段階認証を有効化〈WordPress側〉 WordPress管理画面の左メニューから[ユーザー] > [ユーザー一覧]から、二段階認証を設定したいアカウントのプロフィール画面に進み…… [ユーザー] > [ユーザー一覧]から、二段階認証を設定したいアカウントのプロフィール画面へ プロフィール画面の下部に『Google Authenticator Settings』の設定項目が追加されています。 『設定』画面の項目は以下の通りです。 Active(有効化) チェックを入れることで、このプロフィールのユーザーだけ二段階認証が有効になります。 Relaxed mode(リラックスモード) ワンタイムパスワードの有効時間を、デフォルトの30秒から4分へと延長することができます。 Description(概要) スマートフォンのアプリ画面に表示される識別のための名前。デフォルトではサイトのタイトルが入っています。任意で変更してもOK。 Secret(シークレットキー) アプリと、アカウントを紐づけるためのシークレットキー。QRコードを表示することも可能(後述) 『Google Authenticator Settings』の項目 ログインユーザーが1つしかない場合、Activeにした後にスマートフォンアプリでの認証設定を完了しないままでログアウトしないようにご注意ください。ログインできなくなり復旧に手間どる事になります。 『Active』のチェックを入れ、WordOressアカウントとアプリを連動させるために『Secret』の『Show/Hide QR Code』をクリックしQRコードを表示させます。 『Secret』の『Show/Hide QR Code』をクリックしQRコードを表示『Show/Hide QR Code』をクリックしQRコードが表示される QRコードを読み取り連動完了〈スマートフォン側〉 ここで、スマートフォンアプリの『バーコードをスキャン』をタップし、上記手順で表示されたQRコードを読み込みます。 スマートフォンアプリの『バーコードをスキャン』をタップ ※もし、QRコードの読み込みが出来ない端末の場合は、『手動で入力』から追加することも可能です。この場合、WordPressアカウント画面のSecretに記載されている英数字のシークレットキーと、WorsPressアカウントのメールアドレスを入力します。 QRコードを使用せず、シークレットキーとメールアドレスで連動させることも可能 以上で、アプリにWordPressのアカウントが追加されます。 スマートフォンアプリGoogle Authenticatorに、WordPressアカウントが追加され、ランダムな6桁の数字が表示されはじめる。 以上でアカウントとアプリともに『Google Authenticator』の設定は完了です。スマホアプリの画面には追加されたWordPressアカウントと、ランダムな6桁の数字が表示されているはずです。この6桁な数字は通常30秒毎に切り替わります。 WordPressアカウントのログインテスト 二段階認証が有効になっているアカウントでWordPressを一旦ログアウトし、ログイン画面を表示するとパスワード欄の下に『Google Authenticator code』専用の入力欄が追加表示されます。 WordPressログイン画面にGoogle Authenticator のコードを入力する欄が追加されている この時、IDとパスワードの他に、『Google Authenticatorアプリ』に表示されているる6桁の数字を入力しないとログインができないようになります。アプリに表示される数値は30秒ごとに切り替わるので、連動したスマートフォンを物理的に所持している人でないとログインができなくなる……という仕組みです。入力中にアプリ側の数字が切り替わってしまうとログインできないので、数字が赤く表示されている時は少し待って、切り替わった瞬間に入力することをオススメします。 まとめ、総合評価・関連リンク 以上、WordPressログイン画面に二段階認証を導入できるプラグイン『WP Google Authenticator』について解説しました。 不正ログインを防止し安全性を高める機能を簡単に追加できる便利なプラグインですが、連動したスマートフォンが手元にないと該当ユーザーは当然ログイン出来なくなります。 また、2020年11月現在Google Authenticatorアプリには、スマートフォンの機種変更などをした際にデータの引継ぎが出来ないという不便さが存在します。 この点を認識した上でので、セキュリティの向上を優先させるかどうか、使ってみて考えてみるのも良いでしょう。 インストールのしやすさ ★★★★☆(4.5)プラグインディレクトリから簡単にインストール・有効化できる。 設定の柔軟性 ★★★(3)設定項目はそこまで多くなく、シンプル。プラグインとは別に手持ちのスマートフォンにアプリのインストール・設定を行う必要がある。 機能 ★★★☆(3.5)手軽にセキュリティを強化できる反面、手元にスマホがないとログインすることができないため、ログイン作業がやや手間に感じることもある。スマートフォンの機種変更などに際しては運用の注意を。 価格 ★★★★☆(4.5)無料で使用できる。 総合評価 ★★★★(4.0)設置の手間も少なく、手軽に利用できる。WordPressで構築したWebサイトのセキュリティを向上させたければ、導入を検討しましょう。 WP Google Authenticator 総合評価 WordPress 公式プラグインディレクトリ 『Google Authenticator』Google 公式ドキュメント Google 認証システムで確認コードを取得する 現場のプロがやさしく書いたWebサイトの分析・改善の教科書【改訂2版】 ¥2,900 (2024/10/07 10:34:42時点 Amazon調べ-詳細) Amazonでのレビューを見る Amazonで探す 楽天市場で探す Yahoo!ショッピングで探す メルカリで探す 現役LPO会社社長から学ぶ コンバージョンを獲る ランディングページ ¥1,811 (2024/10/07 10:34:42時点 Amazon調べ-詳細) Amazonでのレビューを見る Kindle Amazonで探す 楽天市場で探す Yahoo!ショッピングで探す メルカリで探す [改訂版]WordPress 仕事の現場でサッと使える! デザイン教科書[WordPress 5.x対応版] Webデザイナー養成講座 Amazonでのレビューを見る Kindle Amazonで探す 楽天市場で探す Yahoo!ショッピングで探す メルカリで探す