WordPress の 2 要素認証 (2FA)

公開: 2023-02-12

WordPress Web サイトを保護するには、強力なパスワードを作成することが不可欠です。 ただし、パスワードだけでは、ブルート フォース攻撃など、サイトに深刻なリスクをもたらす多くの脅威に対して適切な保護を提供することはできません。 許可されていないユーザーがバックエンドにアクセスすると、Web サイトが失われ、訪問者が危険にさらされることさえあります。 このため、WordPress のセキュリティをインストールして維持する計画があります。

2 要素認証 (2FA) を使用すると、WordPress サイトにセキュリティ層を追加できます。 設定は比較的簡単で、この機能により、権限のないユーザーがサイトにアクセスするリスクが大幅に軽減されます。

この投稿では、2FA を紹介し、WordPress での使用方法について説明します。 次に、プラグインを使用してこの機能を実装する方法を示します。 始めましょう!

目次
1. WordPress の 2 要素認証 (2FA) とは?
2.なぜ 2 要素認証が必要なのですか?
3. WordPress の 2FA はどのように機能しますか?
4. 2FA の安全性は?
5. 2 要素認証を開始するにはどうすればよいですか?
6. WordPress 2FA プラグイン
6.1. Rublon 2 要素認証
6.2. Duo 二要素認証
6.3. Google Authenticator – 二要素認証

WordPress の 2 要素認証 (2FA) とは?

2 要素認証 (2FA) は、パスワードとユーザー ID の追加検証の両方を必要とするセキュリティ層です。 この検証は、テキスト メッセージや音声メッセージ、電子メール リンク、QR コード、プッシュ通知など、承認されたユーザーのみがアクセスできるものから行われます。 攻撃者はこれらの外部チャネルにアクセスできないため、2FA は安全です。

なぜ二要素認証が必要なのですか?

2 要素認証 (2 段階認証とも呼ばれます) は、悪意のある人物がサイトにアクセスしてビジネスに損害を与える可能性を防ぐのに役立ちます。 これは、悪者を締め出すための 2 番目の防御線であり、パスワードが侵害された場合でも、2 番目の要素が攻撃者の手の届かないところにある限り、アカウントは安全に保たれます。

WordPress の 2 要素認証はオプトイン機能です。つまり、必要な場合にのみ使用する必要があります。 しかし、それは無料であり、追加の保護層を追加します。

WordPress の 2FA はどのように機能しますか?

ワードプレスの二要素認証
この Google の例は、Web サイトで 2FA がどのように機能するかを示しています。

一般的な (つまり非 2FA の) WordPress ログイン ページでは、ユーザーがユーザー名とパスワードを入力すると、Web サイトのバックエンドへのアクセスが自動的に許可されます。 これは、あなたのユーザー名とパスワードを知っている人なら誰でも、あなたの Web サイトのあらゆる側面に簡単にアクセスできることを意味します。

前述のように、2FA はこれを防ぐのに役立ちます。 では、WordPress ではどのように機能するのでしょうか。 2FA を設定すると (その方法についてはすぐに説明します)、ログイン ページでパスワードとユーザー名を入力すると、電話またはメール アドレスに通知が送信されます。 この通知には、ワンタイム PIN、場合によってはリンクまたは QR コードが含まれます。

Web サイトにアクセスするには、リンクをクリックするか、サイトで PIN を入力するなど、テキスト メッセージまたは電子メールの指示に従ってください。

2FA の安全性は?

標準のパスワード保護と比較すると、2FA ははるかに安全です。 結局のところ、サイトにアクセスするには、自分だけが持っているもの (電話、個人の電子メール アカウントなど) を活用する必要があります。 これは、Web サイトのハッキングの可能性が減少することを意味し、2FA はさまざまなセキュリティ問題 (特にブルート フォース攻撃) をより効果的に防止するための最良の方法になります。

2FA の利点とその仕組みを理解したところで、この機能を実際に WordPress サイトに組み込む方法について説明しましょう。

2 要素認証を開始するにはどうすればよいですか?

WP Engine のお客様は、WP Engine ユーザー ポータルで 2FA を有効にすることができます。 サイトが WP Engine でホストされていない場合でも、2 要素認証方法 (または多要素認証方法) を実装できますが、WordPress プラグインの助けが必要です.

WordPress 2FA プラグイン

WP Engine のお客様は、ユーザー ポータル経由で 2FA を実装できます。 非 WP エンジン
ユーザーは 2FA を実装することもできますが、WordPress プラグインの助けが必要です。 ここでは、自分で試すことができるいくつかのオプションを示します。

Rublon 2 要素認証

ワードプレス セキュリティ プラグイン

Rublon Two-Factor Authentication はシンプルな 2FA WordPress プラグインで、不正なログインから Web サイトを迅速に保護できます。 セキュリティ プラグインがインストールされている WordPress アカウントに初めてログインするときは、メール アドレスに送信された確認リンクをクリックする必要があります。 その後、デバイスを保存することを選択できます。つまり、同じブラウザーを使用しているときに身元を確認する必要がなくなります。

これは、ユーザーが 1 人しかいない Web サイトに最適なオプションですが、マルチユーザーの Web サイトにも適用できます (有料版にアップグレードした場合)。

長所: このプラグインは、ワンクリックでインストールとアクティベーションを行うことができ、構成やトレーニングは必要ありません。

短所: メール認証のみをサポートしているため、テキスト メッセージやプッシュ通知よりも安全性が低くなる可能性があります。

コスト: 個人用 (1 つの Web サイト) プラグインは無料ですが、営業チームに連絡してビジネス (複数 Web サイト) バージョンを購入できます。

Duo 二要素認証

wordpress の 2 要素認証プラグイン

より高度な 2FA プラグインの 1 つである Duo Two-Factor Authentication を使用すると、WordPress ユーザーの役割に基づいて 2FA を設定できます。 たとえば、作成者と編集者は 2FA を使用してログインするように要求できますが、購読者はパスワードを入力するだけで済みます。

Duo Two-Factor Authentication は、SMS、モバイル アプリ、電話など、さまざまな検証オプションも提供します。

長所: このプラグインは、ユーザー ロールの構成をサポートし、さまざまな検証方法が含まれています。

短所: WordPress マルチサイトはサポートされていません。

価格: 無料のプラグインを使用すると、Web サイトで最大 10 人のユーザーに対して 2FA を有効にできますが、ユーザーあたり月額 $3 から上限を引き上げることができます。

Google Authenticator – 二要素認証

二段階認証プラグイン

最後に、Google Authenticator は、QR コード、電子メール メッセージ、プッシュ通知など、Web サイトを不正アクセスから保護するためのさまざまな検証方法を提供します。 Duo Two-Factor Authenticator と同様に、このプラグインを使用して、特定のユーザー ロールに 2FA を設定できます。

Google Authenticator は、ユーザー名、強力なパスワード、要素、またはユーザー名と要素のみを要求するように構成できます。

長所: このプラグインは、特定の役割の 2FA をサポートし、さまざまな検証方法 (QR、SMS、電話、プッシュ通知など) を提供します。

短所: 無料版は機能面でかなり制限されています。

コスト: 無料のプラグインは 1 人のユーザーにのみ 2FA を提供しますが、年間 $15 からアップグレードできます.

WordPress ウェブサイトの安全性は管理者ログイン ページの安全性にかかっており、パスワードだけでは不十分であることを覚えておくことが重要です。 2 要素認証システムを実装すると、サイトの訪問者を安全に保つことができます。 安心できるホストに切り替える準備ができている場合は、WP Engine のマネージド WordPress ホスティング プランをチェックしてください。