WordPress 2FA ロックアウトから回復する方法
公開: 2023-02-082FA を使用して WordPress Web サイトを保護することは、実行できる最高のセキュリティ対策の 1 つです。 セットアップが非常に簡単でありながら、セキュリティのレイヤーを追加します。 さらに、ブルートフォース攻撃など、ログインベースの攻撃の大部分を阻止した実績があります。 多くの WordPress 管理者は既に 2FA を実装していますが、まだこの技術を敬遠する管理者もいます。 この主な理由は、ロックアウトに関する誤解です。
この記事では、ロックアウトを回避するために実行できる予防措置について説明します。 また、2FA デバイスの紛失やサービスの停止によりロックアウトされた場合に何ができるかについても説明します。
目次
- WordPress の 2FA
- 事前に計画する方法 – 2FA ロックアウトを防ぐ方法
- 2FA 設定の猶予期間
- 代替の 2FA 検証方法
- その後の計画方法 – 現在ロックアウトされている場合のログイン方法
- ロックアウトはなぜ起こるのですか?
- 2FA メール認証
- 2FA 認証アプリ認証
- WP2FA – 2FA ケーキを食べて食べましょう
- よくある質問
- 2FA メールを受信していません。どうすればよいですか?
- WordPress メール配信のトラブルシューティング方法を教えてください。
WordPress の 2FA
2FA は、WordPress プラグインを使用して任意の WordPress Web サイトに簡単に実装できます。 ほとんどの場合、プラグインは他のサービスとは独立して動作し、サード パーティのサブスクリプションは必要ありません。 これにより、エコシステム内の「可動部分」の数が減少します。 SMS、Whatsapp、音声などの一部の 2FA メソッドは、2FA が機能するために必要な OTP (ワンタイム パスワード) を提供するためにサード パーティのネットワークに依存するため、機能するには別のサブスクリプションが必要です。
この記事では、WP 2FA プラグインを使用して、WordPress で 2FA を使用する場合の 2FA 回復オプションを説明します。 WP 2FA には 6 つ以上の異なる認証チャネルから選択できるため、現在市場で入手可能な最も包括的な WordPress 2FA プラグインの 1 つになっていることに注意してください。
事前に計画する方法 – 2FA ロックアウトを防ぐ方法
多くの場合、事前に計画を立てることが、2FA ロックアウトの苦痛を回避するための最良の方法です。 すでに 2FA を構成している場合でも、まだ調査段階にある場合でも、ロックアウトを回避するために実行できる手順があります。 これにより、テクノロジに対するあなたとユーザーの不安が軽減されるだけでなく、ダウンタイムが回避され、生産性の損失が解消されます。
2FA 設定の猶予期間
多くの WordPress 管理者が直面する問題の 1 つは、提供された猶予期間内にユーザーが 2 要素認証を設定しないことです。 ポリシーの構成方法によっては、ユーザー アカウントがブロックされる場合があり、管理者がブロックを解除する必要があります。
これはより安全なオプションかもしれませんが、管理者がかなりの数のぼんやりしたユーザーを管理している場合は、代わりに 2FA が構成されるまでダッシュボードへのアクセスをブロックすることをお勧めします。 これにより、ユーザーは、アカウントのブロックを解除するためにあなたの介入を必要とせずに 2FA を設定できます。
代替の 2FA 検証方法
WP2FA は、ロックアウトを回避するのに役立つ代替の 2FA 認証方法を選択できます。 ロックアウトは、ユーザーが電話を忘れたり紛失したりするなど、制御できないさまざまな理由で発生する可能性があるため、予防措置を講じることは常に賢明な選択です.
代替の検証方法では、主要な方法が失敗した場合に代替の 2FA 方法を選択できます。 ここで、ユーザーは使用可能な方法のいずれかをプライマリ メソッドとして設定し、次にセカンダリ メソッドを事前に構成できます。 これを例で説明しましょう。 ユーザーは、TOTP Authenticator アプリを主要な方法として設定し、電子メールを 2 番目の方法として設定している場合があります。 携帯電話を忘れたり、修理に持って行ったり、バッテリーが切れたりした場合は、OTP をメールで受信することを選択できます。
WP 2FA は、ユーザーが主要な方法でログインできない場合に使用するために事前にダウンロードできるバックアップ コードも提供します。
その後の計画方法 – 現在ロックアウトされている場合のログイン方法
現在ロックアウトされており、バックアップ方法または 2 番目の方法が構成されていない場合でも、WordPress アカウントへのアクセスを取り戻すことができます。 ただし、少し手間がかかりますが、数分以上かかることはありません。
先に進む前に、WordPress にまだアクセスできる管理者ユーザーが他にいるかどうかを確認する必要があります。 このような場合は、プロファイル ページから 2FA 構成をリセットするよう依頼できます。
2FA 構成をリセットできる人がいない場合は、プラグインを手動で無効にして、2FA コードを入力しなくても WordPress にアクセスできるようにする必要があります。 プラグインのフォルダ名を変更するには、FTP/SFTP または SSH アクセスが必要です。 これにより、プラグインが効果的に非アクティブ化され、2FA なしでログインできるようになります。
ロックアウトはなぜ起こるのですか?
2FA ロックアウトは、選択した方法に応じて、いくつかの理由で発生する可能性があります。 コードが届かない理由やコードが機能しない理由を知ることで、問題のトラブルシューティングをより迅速に行うことができます。
2FA メール認証
電子メール認証は、ユーザーが認証コードを取得してログインできる最も簡単な方法の 1 つです。この方法は完全に機能しますが、WordPress Web サイトがタイムリーに電子メールを送信できるかどうかに依存していることを覚えておく必要があります。 また、ホスティングプロバイダーがそのようなメールを転送するなど、制御できない要因にも依存します.
WordPress は wp_mail 関数を使用してメールを送信します。 この関数は PHP のメール関数に基づいていますが、これは電子メールの配信を保証するための最も信頼できるオプションではありません。 考慮すべきもう1つのことは、ホスティングです。 一部のホスティング プロバイダーは、サーバーがスパムとして使用されるのを避けるために、電子メールを完全に禁止しています。
2FA 認証アプリ認証
Google Authenticator や Authy などのアプリは、多くの場合、2FA でのログインに必要なワンタイム コードを簡単に受け取る方法を提供します。 これらのアプリは、時間ベースのアルゴリズムを使用して同期を維持し、最初の同期は QR コードを介して行われます。
アプリとサーバーが同期しなくなる可能性があるため、アプリを再同期すると問題が解決する場合があります。 電話を変更する場合、Google Authenticator を使用すると、コードをある電話から別の電話に転送できます。 一方、Authy ではコードのクラウド バックアップを取ることができるため、コードを取得するために必要なことは、資格情報を使用してログインすることだけです。新しい電話でも、PC やラップトップでもかまいません。
WP2FA – 2FA ケーキを食べて食べましょう
WordPress のセキュリティは、ウェブサイトの寿命を確保する上で非常に重要です。 2FA は簡単に手に入る成果物であり、投資に見合った価値を提供します。 多くの有名企業や専門家がこの技術を支持して結集しているため、その有効性は疑いの余地がありません。 しかし、多くの管理者は、2FA の価値よりもユーザーのロックアウトの方が問題であると懸念しています。 この記事で示したように、これは WP2FA には当てはまりません。
ユーザーのロックアウトを回避する方法は数多くあるため、WordPress 管理者がユーザーに 2FA を提供しない理由はありません。 常に前もって計画することをお勧めしますが、振り返ってみると賢明です。 これが、事後にアクセスを復元するためにできることにも触れ、2FA 実装が大成功であることを確認するために必要なすべての情報を提供する理由です。
よくある質問
2FA メールを受信していません。どうすればよいですか?
2FA メールが届かない場合、さまざまな理由が考えられます。 ほとんどの場合、WordPress に問題があり、メールの送信に問題があるか、チェーン内のノードが何らかの理由でメールを適切に転送していない可能性があります。
WP 2FA には、電子メールが送信されていることを確認できる組み込みの電子メール テスターが付属しています。 ただし、これがすべてではないため、メールがどのように送信および配信されるかを理解するのに少し時間をかける価値があります。
簡単に言えば、WP 2FA はメールを作成して WordPress に転送し、WordPress はそのメールを設定済みの SMTP サーバーに送信します。 WordPress は、PHP のメール関数に基づいて構築された wp_mail という関数を使用してこれを行います。 これはすぐに使用できる傾向がありますが、問題が発生する可能性があります。
WordPress メール配信のトラブルシューティング方法を教えてください。
Check & Log Email などのプラグインは便利なツールです。 送信されたすべての電子メールをログに記録し、デバッグ用のツールを提供します。 WP 2FA では、WP 2FA > 設定 > メール設定とテンプレートに移動してアクセスできるメール配信をテストすることもできます。 ここですべてがうまくいけば、問題はさらに先にある可能性があります。 電子メール配信の信頼性を向上させるために、SMTP 電子メール プラグインの選択を検討することをお勧めします。