WordPressのログインに二段階認証を追加するのにお勧めのプラグインを紹介

webセキュリティ
VISHNU_KV / Pixabay

 最近、プラグインを使ってサイトに二段階認証を導入しました。
 その時、Google検索したのですが、その時上位に示されたサイトの中で紹介されているプラグインは更新日が古かったりと色々あり、英語サイトやWordPress公式プラグインディレクトリなどを探った結果、miniOrangeのプラグインを見つけて、入れると使いやすかったので、それを紹介します。

広告

2段階認証とは

 ワンタイムパスワードなどを使い、2段階で認証を行う方式です。
 ネットゲームのログインやGoogleへのログイン等でも使われることがあり、最近のかたがたにはなじみがあるのではないでしょうか。
 2段階認証を可能とするワンタイムパスワードを提供するアプリとしては、だいたいGoogle Authenticatorが有名だと思います。

2段階認証の主なメリット・デメリット

 2段階認証の主なメリットは、ひとえに、セキュリティが高まることです。たとえパスワードが流出してしまったとしても、不正ログインをしようとしている人がワンタイムパスワードを入力できない限り、ログインは不可能です。

 主なデメリットは、想像していただければお分かりかと思います。
 めんどうくさい。ワンタイムパスワードを提供してくれるアプリの入った端末がお陀仏になると、ワンタイムパスワードの設定がふっとぶ。そんな感じです。
 ただ使い慣れると、面倒くささは減っていくかな、とは思いますが、それでも一段階手間が追加されることは変えようがなく、めんどくさいものはめんどうくさいのが難点といえるでしょう。

検索結果の上位のうちいくつかで紹介されていたプラグインについて

 2段階認証をWordPressのログインのために使いたい方は結構な数いらっしゃるらしく、Googleでは日本語のサイトがいくつかヒットしました。
 その中で、記憶の及ぶ限りでは、miniOrangeを紹介されているブログは少なかったように思います。
 では何を紹介されていたかというと、「Google Authenticator」という名前のプラグインです。
 別の名前のものもありました(WP Google Authenticator)が、同名のプラグインを検索しても見当たりませんでした。

 で、プラグインを調べてみますと、最終更新は一年前。他のブログを見ていても、どうやら更新頻度が高いとは判断しかねました。

 英語で調べるとそれなりに情報はありました。
 個人的に参考になったのは下のリンクから飛べるページです。複数のプラグインが分かりやすく比較されていました。

「Google Authenticator – Two Factor Authentication (miniOrange 2 Factor Authentication)」を使うことにした

 上の段で見たレビューや、検索結果から判断して、一番機能も多そうで、かつ更新も早そう(なんだかインストールしてからも頻繁にアップデートされているように思います)なminiOrangeによるプラグインを使うことにしました。
 インストール数もどうやらそれなりですし、評価も高めで、なにより更新日時が近く、さらにWordPress公式プラグインディレクトリにあるプラグインだったのが強かったかなと思います。

miniOrangeとは

 このプラグインの製作元であるminiOrangeは、どうやらセキュリティ関連の会社のようです。サイトを見てみると、主にログイン周りのセキュリティに関してプラグインなどを提供している様子。
 ただ、中心としているのがそれというだけであって、ネットワークセキュリティにも関わっている様子です。

 なおminiOrangeのサイトを訪問してみましたが、多分割りと普通のサイトデザインでした。とてもよいデザインというわけでもなく、なるほどセキュリティに優れている人はいるが、デザインに優れている人はどうなのだろうというかんじ。でもそのリソースをセキュリティにつぎ込んでいるのならこれでOK、という印象です。

プラグインのインストール方法

 Google Authenticator – Two Factor AuthenticationはWordPress公式プラグインディレクトリに存在しますので、WordPressのダッシュボードからいれることが可能です。
 ただ、似たような名前のプラグインが多いので、きちんと名前が(変更もあるかもしれませんが、製作元名はきっとminiOrangeのままです)一致し、評価・ダウンロード数がそれなりにあることを確認してインストールしてください。
 このプラグインの、WordPress公式ディレクトリにおけるページへのリンクは以下になります。

 ZIPでプラグイン導入をする場合も、このリンクから遷移したページよりダウンロードが可能です。

使用手順

 インストール後ダッシュボードの左バーに小さなオレンジ型のアイコンが出ているので、そこをクリックすると設定画面が出ます。なお、何故かインストールをするとプラグイン名はminiOrange 2-Factor Authenticationという名前になります。
 あとは画面にしたがって設定を行うだけ、ではあるのですが、miniOrangeにユーザ登録を行うことになり、また2段階認証の種類を選ぶことになりますので、そのあたりを説明していきます。

User Profile(ユーザプロファイルの登録・設定)

 インストール後、まずminiOrangeのユーザアカウントをプラグインの設定画面から作成することになります。
 作成手順は、だいたい通常のWebサービスに登録するときと同じです。
 このアカウント(User Profile)作成・登録手続きを経た後、SetUp Two-Factorタブをクリックするか、画面の案内にしたがってSetUp Two-Factorタブを開くかして(そこは詳しく覚えていません)、2段階認証の設定に入ることになります。

SetUp Two-Factor(2段階認証のセットアップ)

 SetUp Two-Factorタブでは、2段階認証をセットアップできます。
 ただ、2段階認証といっても手法は色々あり、このプラグインでは9種類の方法を選ぶことができます。なお、どうやら重ねがけはできない様子。できたとしてもあまりにややこしすぎると思うので、そのあたりは納得です。
 選べる認証方法は10種類。うち、2つがFreeプランではつかえないもの、1つがFreeではけっこうきびしい制限ありのものです。
 その10種類を書き出すと、以下のようになります。

  • Email Verification: Eメール認証。ログイン時、ユーザアカウントに設定したEメールアドレスに認証用メールが届く。その中のACCEPTリンクを押せばログインできる。自分がログインするのでない場合はDENYリンクを押す。セキュリティが良いメールアドレスを持っている場合はお勧め。
  • OTP Over SMS: Freeプランの場合は10回しか使えない。その名前のとおり、SMSでワンタイムパスワードが送信される。
  • Phone Call Verification: 電話での認証。プレミアム機能、Freeプランでは使えない。
  • Soft Token: miniOrangeアプリをスマートフォンに入れて行う認証。Google AuthenticatorアプリのかわりにminiOrangeアプリを使って2段階認証という感じ。
  • QR Code Authentication: スマートフォンに入れたminiOrangeアプリからQRコードをスキャンする形式で行う認証。
  • Push Notification: スマートフォンに入れたminiOrangeアプリから送られるプッシュ通知から認証する方式。
  • Google Authenticator: Google Authenticatorでワンタイムパスワードを生成、それを入力して二段階認証を行う方式。Google製のアプリを使うということもあり、メジャーな方式。様々なサービスで使われている。
  • Authy 2-Factor Authentication: Authy2段階認証アプリでの2段階認証を行う方式。AuthyはGoogle Authenticatorのように復元できないリスクが少ないが、その代わりワンタイムパスワード生成のためのキーがクラウド上に保管(勿論セキュリティで守られてはいるが…)される。利便性とセキュリティをはかりにかけて選択するのがいいかと思います。
  • Sequrity Questions (KBA): いわゆる「秘密の質問」。
  • OTP Over SMS And Email: ワンタイムパスワードがSMSとEmailで送られ、それを入力することで2段階認証を行う。プレミアム機能、Freeプランでは使えない。

 セキュリティ的にはオススメはEmail Verificationでしょうか。どちらのリンクを押すかできちんとACCEPTとDENYを場合わけできますし。

 利便性だとワンタイムパスワードを選ばれる方も多いと思います。

 メジャーなのはGoogle Authenticatorですが、このプラグインはそのほかにも、Authyアプリにも対応しています。
 Authyは便利ですが、ネット上(おそらくAuthyのサーバで、ある程度のセキュリティで守られてはいるはず)にワンタイムパスワード生成のためのキーが保存されるため、Google Authenticatorよりもセキュリティ的には不安が少しあります。
 しかし、Authyで作成したアカウントにそういった設定が保存されるため、Google Authenticatorのようにバックアップがとれず、機種変更のときは一つ一つ設定しなおす、という事態にはなり難いと思われます。つまり、同じアカウントでログインすれば、ワンタイムパスワード生成のための情報が引き継がれるのです。
 このため、どちらがいいとは一概には言えません。セキュリティと利便性、どちらを優先するかはユーザの好みとしかいえないように思います。

 なお、設定後は「Test」から設定どおりに動くかテストすることができる様子です。

Login Settings

 2段階認証をセットアップすると、ログインに関する設定をするように案内されます。
 Login Settingsタブでは、どのような役割の人が2段階認証をするかを選べます。複数人でサイトを運営している場合は、ここで一般ユーザにどのように認証を提供するかといった情報を設定します。

 私はこのサイトを一人で運営していますので、変更は確かしていません。

How To Setup

 2段階認証の設定方法が良くわからない場合は、このタブからどうセットアップするかを見れます。英語で書いてありますが、画像がついているので大分分かりやすいです。

その他コメントなど

 2段階認証を追加する系の日本語の記事を読んでいると、だいたい最初に述べたとおり古いプラグインが出てくるので、新しくて便利だと私が思うプラグインの紹介をしてみました。
 よく更新もされていて、機能も多い、中々良い感じのプラグインです。

広告

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA