この記事では、WordPressの2段階認証のプラグインや上手くできないときの対処法をお伝えします。
ブログ収益化の教科書プレゼント
↓ ↓ ↓
WordPressの2段階認証が「できない」と感じる主な原因
このパートでは、そもそも2段階認証とは何かをサッと整理しつつ、「思ったように動かない」「できない」と感じるときに起こりがちなパターンを分けて考えていきます。自分の状況がどれに近いのか、ざっくり当たりを付けながら読み進めてみてください。
2段階認証とは?仕組みとメリットをざっくり整理
まずは「なんでこんなひと手間が必要なのか」を簡単に整理しておきます。2段階認証は、イメージとしては「パスワードにもう一つカギを足して、ログインを二重ロックにする仕組み」です。
ログインに使われる要素は、一般的に次の3種類があります。
| 要素の種類 | 内容のイメージ | WordPressでの例 |
|---|---|---|
| 知っているもの | パスワードなど、頭の中の情報 | ログインIDとパスワード |
| 持っているもの | スマホや物理キーなど | 認証アプリのコードやSMSコード |
| 自分そのもの | 指紋・顔などの生体情報 | 生体認証対応端末を経由したログインなど |
ふつうのログインは「知っているもの(パスワード)」だけに頼っています。ここに「持っているもの(スマホの認証アプリなど)」を足すことで、次のようなメリットが生まれます。
- パスワード自体が盗まれても、スマホがなければログインされにくい
- 総当たり攻撃や推測でパスワードを破られても、もう一段で止められる
- 管理画面を乗っ取られてテーマやプラグインを書き換えられるリスクを減らせる
「毎回少しだけ手間は増えるけれど、そのぶん守りがかなり固くなる仕組み」と考えてもらえればOKです。
よくある「できない」ケースと症状
ここからが本題です。相談が多いのは、だいたい次のようなパターンです。
- 認証コードが届かない
- メール認証にしているのに、メールボックスにコードが見当たらない
- SMS認証にしているのに、スマホにメッセージが飛んでこない
- コードを入れても「無効なコード」と出る
- 認証アプリの数字を急いで打っても、なぜか通らない
- 何度試しても「一致しません」と表示される
- 2段階認証の画面がそもそも出てこない
- プラグインは有効化しているのに、ログイン画面の見た目が変わらない
- 別のセキュリティプラグインと機能がぶつかっている
- ログイン画面にアクセスできない
- 2段階認証プラグインを入れたあと、ログインURLがどこかに行ってしまった
- WAFやセキュリティ設定が厳しすぎて、自分のアクセスがブロックされている
自分の状況がどれか一つにぴったり当てはまらなくても、「メール系の問題」「コードの照合の問題」「画面の表示の問題」のどれに近いかをイメージしておくと、後の対処がやりやすくなります。
トラブルを悪化させないために今やってはいけないこと
焦るとついやりがちですが、「これはかえって状況をややこしくする」という行動もあります。代表的なものを挙げておきます。
- よく分からないまま、セキュリティ系プラグインを次々と追加する
- 2段階認証の設定を、理由が分からないまま頻繁にオンオフ切り替える
- 本番サイトで、複数人分の設定を一気にまとめて変更する
- ログインできない状態なのに、中途半端にプラグインを削除しようとする
特に、2段階認証プラグインを残したまま別のものを入れ替えたり、途中で削除したりすると、設定情報だけが残ってしまい、余計に原因が分かりづらくなります。この記事の後半で「安全な復旧手順」も解説するので、いったん落ち着いて状況を整理してから手を動かすようにしましょう。
WordPressの2段階認証プラグインの種類と選び方
ここでは、代表的なWordPress用2段階認証プラグインの種類と特徴を比較しながら、「どれを選べばよさそうか」の目安を整理します。すべてを完璧に使いこなす必要はないので、基本は1〜2個に絞るイメージで大丈夫です。
代表的な2段階認証プラグインを比較
日本語情報でもよく名前が挙がるプラグインを、ざっくりと表にまとめると次のようなイメージになります。(名称や仕様は変わることがありますが、ここでは考え方の整理として見てください。)
| プラグイン名の例 | 主な特徴 | 認証方式 | 向いているサイト |
|---|---|---|---|
| Two-Factor | 軽量でシンプルな二要素認証プラグイン | メール・アプリ・バックアップコードなど | 個人ブログ〜一般的な企業サイト |
| Two Factor Authentication | 設定画面が比較的わかりやすい | 認証アプリのコード・メール | 少し機能を増やしたい中規模サイト |
| WP 2FA | ポリシー設定やルールを細かく決められる | 認証アプリのコード中心 | 管理者が複数いる企業サイト |
| Wordfence Login Security | Wordfenceのログイン保護機能に特化したプラグイン | 認証アプリ・信頼済みデバイスなど | すでにWordfenceを利用しているサイト |
| XO Securityなど | ログイン制限や通知など、ログイン周りをまとめて強化 | ログイン制限+二要素認証など | 日本語の情報を重視したい場合 |
最初の一つとしては、私はTwo-Factorのような軽量でシンプルなプラグインから始めることが多いです。理由としては、次のような点があります。
- 機能が絞られているぶん、設定画面が比較的分かりやすい
- 余計な機能が少ないため、他のプラグインとの競合リスクを抑えやすい
- メール・認証アプリ・バックアップコードをバランスよく組み合わせやすい
一方で、運用ルールを細かく決めたい大規模サイトや企業サイトでは、WP 2FAのような高機能なプラグインが候補に入りやすくなります。
サイトのタイプ別おすすめの組み合わせ
実際にどの2段階認証プラグインを使うかは、「サイトの規模」と「守りたい情報の重さ」で変わってきます。ざっくりとですが、次のように考えると選びやすくなります。
- 個人ブログ・小規模サイト
- Two-Factorなど軽量な2段階認証プラグイン+ログイン試行回数を制限するプラグイン
- メール認証だけに頼らず、認証アプリとバックアップコードも併用しておく
- 企業のコーポレートサイト
- Two-FactorまたはWP 2FAなど+ログインURL変更系プラグイン
- 最低限、管理者アカウントだけでも二要素認証を必須にする
- 会員制サイト・オンラインショップ
- 管理者・運営メンバーの2段階認証は必須レベルと考える
- 決済情報や会員情報を扱うので、他のセキュリティ対策もセットで考える
「サイトの性格に合った守りの強さ」に調整するイメージで、プラグインを組み合わせてみてください。
導入前に必ず準備しておきたいこと
2段階認証プラグインを入れる前に、「これだけは準備しておくと安心」というポイントを表にまとめました。
| やっておきたい準備 | 目的 | 目安 |
|---|---|---|
| サイト全体のバックアップ取得 | ロックアウト時でも元の状態に戻せるようにする | データベース+ファイルの両方を保存 |
| 既存セキュリティプラグインの洗い出し | 機能の重複や競合を避ける | ログイン関連の機能をメモして整理 |
| テスト用ユーザーの作成 | 管理者とは別のアカウントで動作を確認する | 管理者と同等または権限を少し落としたユーザー |
| ステージング環境の用意 | 本番に影響を出さずに試せるようにする | サーバーの機能や専用プラグインで用意 |
特にバックアップは、「取っておけばよかった」となりやすいところです。2段階認証に限らず、何か大きな変更をするときのルーティンとして習慣化しておくと安心です。
おすすめWordPress 2段階認証プラグインの設定手順
ここからは、実際にプラグインを使って2段階認証を設定していく流れを追いかけます。プラグインごとに画面の見た目は違いますが、基本的なステップはよく似ています。ここでは例として、比較的シンプルなTwo-Factor系プラグインをイメージして説明します。
Two-Factorプラグインでの基本的な設定ステップ
Two-Factorのような2段階認証プラグインでは、だいたい次のような流れで設定していきます。
| ステップ | やること | ポイント |
|---|---|---|
| 1 | プラグインのインストール・有効化 | 管理者アカウントでログインした状態で行う |
| 2 | ユーザープロフィール画面を開く | 「2段階認証」関連の項目を探す |
| 3 | メール認証を有効化する | 最初はメールをオンにすると安心 |
| 4 | 認証アプリ用のQRコードを表示 | Google Authenticatorなどで読み取る |
| 5 | アプリのコードを入力して確認 | 連携できているかテストする |
| 6 | バックアップコードを発行・保管 | 紙に印刷するか、安全なメモに保存 |
| 7 | 一度ログアウトしてテスト | 別ブラウザなどからログインを試す |
設定画面上ではチェックボックスや選択欄になっていることが多いので、「メール+認証アプリ+バックアップコード」の三本立てで有効にしておくと、万が一のときの逃げ道が増えます。
認証アプリ(Google Authenticatorなど)の設定ポイント
認証アプリは、スマホで使い捨てコードを発行するためのアプリです。代表的なものは、Google AuthenticatorやMicrosoft Authenticatorなどです。設定するときは、次の点を意識すると失敗しにくくなります。
- アプリを入れるスマホは、できれば自分専用の端末にする
- カメラでQRコードを読み取るか、表示されるキーを手入力する
- コードは一定時間ごとに変わるので、焦らず落ち着いて入力する
- サーバーとスマホの時刻が大きくズレていると、認証エラーの原因になる
【稼げるキーワード教えます】
▼ ▼ ▼
「コードが合いません」と何度も表示される場合は、スマホの時刻設定を自動にしておくと改善するケースがあります。それでもダメなときは、一度連携を解除し、QRコードを再表示させて最初から登録し直すとスムーズです。
バックアップコードと非常用メールの設定
WordPressの2段階認証で意外と忘れがちなのが、「スマホが使えなくなったときの逃げ道」です。ここをサボると、あとで自分が困ります。次のポイントを押さえておきましょう。
- バックアップコードは必ず発行しておく
- コードは紙に印刷するか、オフラインのメモなどに保管する
- 共有PCや共有フォルダなど、他人から見える場所には置かない
- メール認証も使う場合は、そのメールアドレスのログイン情報も安全に管理する
「スマホを落とした」「機種変更で認証アプリが使えなくなった」といった場面でも、バックアップコードがあれば冷静に復旧できます。逆に何も準備していないと、FTPやデータベース操作など、少しハードルの高い復旧方法に頼らざるを得なくなることもあるので注意しましょう。
2段階認証ができない・ログインできないときの復旧手順
ここからは、「もうログインできない…」という状況を前提に、WordPressの2段階認証がうまく動かないときの復旧手順を整理します。管理画面に入れるかどうかでできることが変わるので、分けて考えます。
管理画面に入れる場合のチェックリスト
まだ管理画面にログインできる状態であれば、次の順番で確認していくと泥沼にはまりにくいです。
| 状態 | 確認したいポイント | 対処の例 |
|---|---|---|
| メールが届かない | メールアドレスや迷惑メール、送信設定 | 別メールアドレスで試す、SMTPプラグインを見直す |
| アプリコードが通らない | スマホ時刻やQRコードの設定 | 連携を解除して再登録し、時刻を自動にする |
| ログイン画面の表示がおかしい | ログインURL変更系プラグインとの競合 | どちらかの機能を一時的にオフにして動作確認 |
| 他のプラグインが怪しい | セキュリティ系やキャッシュ系との相性 | 一時的に無効化して挙動を比較する |
一度に複数の設定を変えてしまうと、「結局どれが原因だったのか」が分からなくなります。少し面倒でも、一つずつ変更してテストするほうが、結果的には早く解決につながります。
まったくログインできないときの復旧手順(FTP利用)
すでに管理画面にも入れない場合は、少し技術寄りの作業が必要になります。ただ、「プラグインのフォルダ名を変える」だけで改善するケースも多いので、落ち着いて進めてみてください。
大まかな流れは次のとおりです。
- レンタルサーバーのファイルマネージャーやFTPソフトで、サイトのファイルにアクセスする
wp-content/plugins/フォルダを開く- 問題になっていそうな2段階認証プラグインのフォルダを探す
- そのフォルダ名の末尾に「-old」などを付けてリネームする(例:
two-factor→two-factor-old) - ブラウザでログイン画面を開き、通常どおりログインできるか試す
WordPressは、プラグインフォルダ名が変わると、そのプラグインが無効化されたとみなします。これで2段階認証の機能だけがオフになり、ログインできるようになることがよくあります。
ログインできたら、管理画面から問題のプラグインを一度削除し、設定を見直したうえで改めてインストールし直すと、状態をきれいにリセットできます。
それでもダメなときにやることと相談先
プラグインフォルダ名を変えてもログインできない場合は、他の要因が絡んでいるかもしれません。
- ログインURL変更系プラグインで、ログインURL自体が変わっている
- セキュリティプラグインやWAFの制限で、自分のIPアドレスがブロックされている
- テーマや別のプラグインのエラーが原因で、画面が表示されていない
この場合は、次のような順番で確認してみてください。
- ログインURL変更系プラグイン(SiteGuard系など)を思い出し、設定を確認する
- レンタルサーバーの管理画面で、WAFやアクセス制限の状態を確認する
wp-content/plugins/の中身全体を一時的に別名フォルダにして、プラグインを全オフにしてみる- サーバーのエラーログを確認し、特定のプラグイン名やエラー内容を手がかりにする
どうしても自力で厳しい場合は、レンタルサーバーのサポート窓口や、WordPressに詳しい制作会社・フリーランスに相談するのも一つの手です。その際は「いつ・何をしたか」「どのプラグインを入れているか」などをメモにまとめて渡すと、状況を共有しやすくなります。
運用で失敗しないためのコツとルール
2段階認証を入れたあとに「運用でつまずかないためのコツ」をまとめます。実際には、設定そのものよりも、運用ルールの甘さが原因でトラブルになることが多い印象です。
複数管理者でwordpress 2段階認証を共有するときの注意
管理者アカウントが複数あるサイトでは、あらかじめルールを決めておくと安心です。
- 各自が自分専用のユーザーアカウントでログインし、アカウントの共有はしない
- それぞれが自分のスマホに2段階認証アプリを設定する
- 退職や担当交代のときは、アカウント削除や権限変更をルール化しておく
- 新しい管理者アカウントを作るときは、最初から2段階認証を有効にしておく
一つの管理者アカウントを複数人で使い回す運用だと、2段階認証の意味が薄れてしまいます。手間は増えますが、「人ごとにアカウントを分ける」のが結果的に安全で、トラブル時の切り分けもしやすくなります。
スマホ紛失・機種変更に備える
WordPressの2段階認証はスマホ前提で動くことが多いので、スマホ側のトラブルにも備えておく必要があります。次のような準備をしておくと、紛失や機種変更のときも落ち着いて対処できます。
- バックアップコードを必ず発行し、別の安全な場所に保管する
- 認証アプリにバックアップ機能やアカウント移行機能があれば有効にする
- 機種変更の前に、認証アプリのアカウント移行を済ませてから古い端末を手放す
- 管理者が複数いる場合、「スマホ紛失時に誰に連絡するか」を決めておく
「スマホをなくしたらサイトにも入れない」という状態にならないように、事前の準備を軽くでもしておくと安心です。
その他のセキュリティ対策と組み合わせ方
2段階認証はとても強力な仕組みですが、それだけでサイトが完全に守られるわけではありません。他の対策と組み合わせることで、全体の守りがぐっと強くなります。
| 対策 | 目的 | 難易度の目安 |
|---|---|---|
| ログイン試行回数の制限 | 総当たり攻撃による不正ログインを防ぐ | 低 |
| ログインURLの変更 | ログイン画面への不審アクセスを減らす | 中 |
| プラグイン・テーマの更新 | 既知の脆弱性をふさぐ | 中 |
| 不要プラグインの削除 | 攻撃対象になりうる部分を減らす | 低 |
| 定期的なバックアップ | 万が一の復旧を簡単にする | 中 |
2段階認証プラグインは、あくまで「ログイン部分の守り」を強化するための1ピースです。サイト全体をどう守るかという視点もあわせて持っておくと、より安心して運用できます。
よくある質問
ここでは、WordPressの2段階認証がうまくいかないときや、2段階認証プラグインを選ぶときによくもらう質問に、Q&A形式で答えていきます。
Q1. 2段階認証プラグインを入れたあと、ログイン画面が真っ白になりました。どうすればいいですか?
A1. 別のプラグインやテーマとの相性問題でエラーになっている可能性があります。まず、レンタルサーバーのファイルマネージャーやFTPで wp-content/plugins/ を開き、入れたばかりの2段階認証プラグインのフォルダ名を変更してみてください。これでログインできるようになれば、そのプラグインが原因である可能性が高いので、設定を見直すか、別の2段階認証プラグインを検討するとよいです。
Q2. メールでコードを送る方式の2段階認証がうまく動かないことがあります。メール認証はやめたほうがいいでしょうか?
A2. メール認証自体が悪いわけではありませんが、メールサーバーの状態や迷惑メールフィルタの影響を受けやすいのは事実です。可能であれば、メール認証だけに頼らず、認証アプリとバックアップコードも組み合わせる構成にしておくと安心です。メールは「補助的な認証手段」と考えておくと、トラブルを減らしやすくなります。
Q3. 小さな個人ブログでも、2段階認証プラグインは必須でしょうか?
A3. 絶対に必須とは言い切れませんが、管理画面を乗っ取られたときのダメージを考えると、入れておく価値は大きいと感じます。特に、広告やアフィリエイトで収益を得ているサイトや、問い合わせフォームから個人情報が届くサイトでは、2段階認証をオンにしておくと安心です。Two-Factorのような軽量なプラグインであれば、負荷も小さく導入しやすいと思います。
まとめ
この記事のポイントを整理します
- WordPressの2段階認証は「パスワード+スマホ」でログインを守る仕組みで、乗っ取り対策として非常に効果的
- 2段階認証プラグインは種類が多いが、まずはTwo-Factorのようなシンプルなものから始めるとつまずきにくい
- 導入前にはバックアップと既存セキュリティプラグインの洗い出しを行い、競合やロックアウトを防ぐ
- 2段階認証がうまくいかないときは、管理画面に入れるかどうかで復旧手順を分け、必要ならFTPでプラグインを無効化する
- 運用面ではバックアップコードやスマホ紛失時のルールを整え、他のセキュリティ対策と組み合わせて全体の守りを固めることが大切
今日からできる最初の一歩としては、「サイトのバックアップを取ったうえで、テスト用ユーザーを作成し、Two-Factor系の2段階認証プラグインを本番とは別環境で試してみる」ことをおすすめします。いきなり本番サイトの管理者アカウントでチャレンジするより、ずっと安全で、落ち着いて手順を確認できますよ。
記事を読んだらコチラ
▼ ▼ ▼
