Webサイト制作所が開発・販売するWordPressテーマ、そして当所が制作を担当するWordPressサイトには、Google Authenticatorによる二段階認証が標準で導入できる仕組みを備えています。 外部プラグインを追加しなくても、ログイン保護・不正アクセス対策・乗っ取り防止が簡単にできるように設計しています。この記事では、二段階認証を標準搭載する理由、導入メリット、そしてどのように使えるかを分かりやすく解説します。
Google Authenticatorとは?
Googleが開発した二段階認証用のアプリです。スマートフォンにインストールし、各種ウェブサービスのアカウントと紐づけることで、30秒ごとに変わる6桁の数字コード(ワンタイムパスワード)を生成します。これにより、従来のパスワードに加えてこのコードを入力することで、不正アクセスを防ぎ、アカウントのセキュリティを強化します。
なぜWebサイト制作所では二段階認証を標準搭載にしているのか?
いちばん簡単で強力なセキュリティ対策の一つが、二段階認証です。
Webサイト制作所では、あなたのWordPressサイトを守るため、Google Authenticatorの二段階認証を標準搭載しています。
- WordPressは世界で最も攻撃を受けやすいCMS
- パスワードのみの保護は現在ではリスクが高い
- 初心者でも簡単に導入できるセキュリティが必要
WordPressは世界中で利用されているため、ログイン攻撃の対象になりやすいCMSです。
特に管理画面への不正アクセスは、サイトの改ざん・情報漏洩・スパム感染など重大なトラブルにつながります。こうしたリスクを未然に防ぐために、もっとも効果が高い対策のひとつが二段階認証 です。
Google Authenticatorとは?
30秒ごとに変わる6桁のワンタイムコードでログインを保護します。
- パスワードが漏れてもログインできない
- スマホで完結、特別な知識不要
- リード文で読みやすさを作り
二段階認証を標準搭載することで得られるメリット
- 追加プラグイン不要でサイトが軽い
- 設定項目がシンプルで迷いにくい
- WordPress初心者でも安全性が高い運用ができる
- 乗っ取り・改ざんのリスクが激減する
テーマに搭載されている二段階認証の主な機能
- ログイン画面でワンタイムコードを要求
- セットアップキー、QRコード、バックアップコードを自動生成
- トラブル時に管理者権限での一時解除(無効)が可能
- ログインURLカスタム機能と組み合わせて不正アクセス対策を強化
二段階認証を設定し二段階認証でログイン
- 管理画面にログインし「登録ユーザー一覧」へ
- 設定を有効にしたいユーザーを選択
- ユーザー編集ページの下部にある2段階認証(TOTP)の操作で2FAを有効化ボタンを選択
- アプリの設定に必要なコードが自動生成
バックアップコードも生成し記録 - スマホでインストールしたアプリGoogle AuthenticatorでQRコードを読み込むのが一番簡単
手動でコード(otpauth URI)とキー(秘密鍵(手動登録用))を設定する事も可能 - ログイン画面でユーザー名、パスワードを入力し、Google Authenticatorに表示されている6桁のワンタイムコードを入力してログイン
万が一スマホを紛失した場合の対処法
Google Authenticatorを使っていると
「スマホを失くしたらログインできなくなるのでは?」
と心配される方も少なくありません。
Webサイト制作所のWordPressテーマでは、スマホ紛失時でもログインを復旧できる仕組みを用意しているため、必要以上に不安になる必要はありません。
以下の流れで対応できます。
バックアップコードを利用する
二段階認証を設定する際に発行されるバックアップコードを保管しておくと、スマホが無い場合でも管理画面へログインできます。
- 発行されたコードをメモ帳や紙に保存
- 1回限りの使い切りコード
- スマホが手元になくてもログインできる
※まだ発行していない方は、二段階認証設定画面から作っておくことを強く推奨します。
バックアップコードとは?
バックアップコードは、スマホが使えなくなった時に1回だけログインできる合鍵のようなものです。
生成すると10個のバックアップコードを生成します。
最大で10回までログイン可能です。
ログインさえできていれば、バックアップコードの再生成は何度でも可能です。
再生成した場合は再生した10個のバックアップコードしか使用できません。
バックアップコードの使い方
ログイン画面へアクセスします。
- ユーザー名を入力
- パスワードを入力
- 「2段階認証コード」の欄にバックアップコードを入力
本来はスマホの6桁コードを入力する場所ですが、スマホが使えないときはバックアップコードをそのまま入力 します。
バックアップコードが正しく一致すると、いつもの管理画面に入れます。
使ったバックアップコードは自動的に無効になります。
バックアップコードでのログイン後に必ずやること!
スマホが手元にない場合は、新しいスマホで2段階認証を再設定する必要があります。
再生成したら新しいスマホにGoogle AuthenticatorをインストールしてQRコードを読み込んでください。
管理者(別ユーザー)に二段階認証を一時解除してもらう
同じサイトに、あなた以外の管理者権限ユーザーがいる場合、そのユーザーがあなたのアカウント設定を開き、
- 「二段階認証を無効化」
- または「新しいQRコードの再発行」
が可能です。
これにより、新しいスマホで再設定できます。
どうしてもログインできない場合はDBからリセットする必要があります
管理者権限のユーザーが他にいない場合は、二段階認証の情報をデータベース(phpMyAdmin)から削除し、設定をリセットすることでログインが可能になります。
削除するメタキー
- ch_2fa_secret
- ch_2fa_backup_hashes
- ch_2fa_backup_plain
スマートフォン紛失や、バックアップコード不明などの理由で、WordPressの管理画面にログインできなくなった場合は、
phpMyAdmin から2FAの設定情報をリセットすることでログインを復旧できます。
この作業はデータベースの操作を伴うため、誤操作するとWebサイトが表示されなくなる危険があります。
不慣れな場合は、有料サポートになってしまいますが、Webサイト制作所へお気軽にご相談ください。
WordPressサイトの運用やカスタマイズでお困りの方へ
Webサイト制作の設計・制作はもちろん、運用やカスタマイズに関するご相談も承っています。「子テーマの使い方をもっと知りたい」
「テーマを切り替えたら表示が崩れてしまった」
「自分で更新したいけど、ちょっと不安…」
そんなときは、お気軽にご相談ください。
一人ひとりの運営スタイルに合わせて、安心できるサポートをご提案します。
まずはお気軽にご相談ください
フリーランス主夫のWebサイト制作所では、フルオーダーのWebサイト制作だけでなく、すでに運用中のWordPressサイトや、WordPressテーマ購入者の方にも
使いやすい管理画面
機能追加
などのご依頼を受け付けています。
ご相談・お見積りは無料です。
以下のボタンからご相談・ご依頼ページからお問い合わせください。
関連記事 Webサイト運用のコツ
WordPressサイトを長く安心して運用するためのヒントをまとめています。
セキュリティ対策から管理画面のカスタマイズ、更新作業のポイントまで、制作所の実例をもとにわかりやすく解説しています。
文責:CHIYO HEART 代表 坂本 渉