WordPressのログインには二段階認証を入れておくと安心感がまったく違います。
この記事では、WordPressの二段階認証の仕組みから、おすすめプラグイン、具体的な設定手順、トラブル時の対処までを、なるべく専門用語をかみ砕きながらまとめて紹介します。
ブログ収益化の教科書プレゼント
↓ ↓ ↓
WordPressが狙われやすい理由と二段階認証の全体像
ここでは、そもそもなぜWordPressサイトが攻撃されやすいのか、そして二段階認証がどう役に立つのかをざっくり整理します。まずは「なぜやるのか」が自分の中で納得できていた方が、このあと説明する具体的な設定手順もスッと入ってくるはずです。
不正ログインのリスクとよくある被害
最初に、WordPressに不正ログインされると何が起こるのかをイメージしておきましょう。
私も知り合いのサイト復旧を手伝ったことがありますが、正直「ちょっと直せば終わりだろう」と思っていたら、想像以上にダメージが大きくて反省しました。
よくある被害と、そのときサイト側で起きることをざっくり表にすると、こんなイメージです。
| よくある被害 | サイト側で起きることの例 | 困るポイント |
|---|---|---|
| サイトの改ざん | トップページがスパム広告や見知らぬページに書き換えられる | 読者の信頼低下、検索エンジンからの評価ダウン |
| 不審なリダイレクト | 訪問者が勝手に別サイトへ飛ばされる | ウイルス配布サイトなどへの誘導になりかねない |
| 管理者アカウントの乗っ取り | 管理者権限を奪われ、勝手にユーザー追加や設定変更をされる | 自分でログインできなくなる危険がある |
| メールフォームの悪用 | 迷惑メールの送信にサイトが使われる | サーバーやドメインの信用に傷がつく |
怖いのは、これらが「自分が寝ているあいだ」に起きてしまうことです。
気づいたときには検索結果に警告が出ていたり、読者からの連絡でようやく異常に気付く、というケースも珍しくありません。
もちろんパスワードを強くしておくのは大事ですが、それだけだと「パスワードが漏れたらアウト」です。
そこで強い味方になるのが、WordPressのログインに二段階認証を追加することです。
二段階認証・二要素認証とは?
二段階認証(二要素認証と呼ばれることもあります)は、ログイン時に「確認ステップ」をもう一つ足す仕組みです。
ログインに使える要素は、大まかに次のように分けられます。
- 知っているもの:ID、パスワード
- 持っているもの:スマホ、認証アプリ、セキュリティキーなど
- 自分の特徴:指紋、顔認証など
通常のWordPressログインは「ID+パスワード」だけなので、「知っているもの」に頼り切っています。二段階認証ではここに「持っているもの」を追加します。
たとえば、こんな流れです。
- いつもどおりIDとパスワードでログインする
- スマホの認証アプリやメールに届いた「6桁のコード」を入力する
- コードが一致したらログイン完了
こうしておくと、もしパスワードが漏れてしまっても、スマホやメールに届くコードがないとログインできません。
「鍵穴を二つ付けるイメージ」と考えると、イメージしやすいと思います。
【深呼吸タイム】 稼ぐために必要な3つのポイントを知っていますか? これら全部を暴露します。
WordPressで二段階認証を導入するメリット・デメリット
WordPressに二段階認証を入れると、メリットがかなり大きい一方で、少しだけ気を付けたい点もあります。
先に整理しておきましょう。
【メリット】
- パスワードがバレても、ログインされる可能性がぐっと下がる
- 総当たり攻撃(ブルートフォース)への耐性が上がる
- 「最低限ここまでは対策している」と胸を張れる防御ラインになる
- 心理的な安心感が増す(これは思った以上に大きいです)
【デメリット】
- ログイン時の手間が少し増える(コード入力のステップが追加される)
- スマホをなくしたときなど、ログインが難しくなる場面がある
- 一部のプラグインやテーマと相性が悪いケースもゼロではない
私の感覚では、「毎回コードを入れる少しの手間」よりも「乗っ取られたらどうしようという不安」が軽くなるメリットの方がずっと大きいと感じています。
WordPress二段階認証の種類と仕組み
ここからは、WordPressで使える二段階認証の種類と、それぞれの仕組みをざっくり整理します。あとでプラグインを選ぶときに「自分はどの方式が合っていそうか」を考えやすくなります。
認証アプリ方式(Google Authenticatorなど)
一番よく使われているのが、スマホの認証アプリを使う方式です。
代表的な認証アプリの例は次のようなものがあります。
- Google Authenticator
- Microsoft Authenticator
- Authy
- 1Passwordなどのパスワード管理アプリの認証機能
仕組みはシンプルで、WordPress側で表示されるQRコードをアプリで読み取るだけです。
すると、アプリ内に「6桁の数字」が数十秒ごとに切り替わりながら表示されます。
ログイン時にはその数字を入力します。
認証アプリ方式の特徴を表にまとめると、こんな感じです。
| 項目 | 特徴 | 向いている人 |
|---|---|---|
| セキュリティ強度 | 高い(スマホが手元にないと突破されにくい) | 不正ログイン対策をしっかり行いたい人 |
| 使い勝手 | 慣れれば早いが、最初は少し戸惑うこともある | ほぼ毎日ログインする管理者 |
| 導入の難易度 | 中くらい(QRコード読み取りなどが必要) | ITにある程度慣れている人 |
| スマホ紛失時のリスク | バックアップの設定が必須 | 機種変更が多い人は特に注意したい |
私も最終的には認証アプリ方式に落ち着きました。
最初だけ少し戸惑いますが、慣れるとパスワードを打つのと同じくらいの感覚でサクッとコードを入力できるようになります。
メールコード方式
次に、メールでワンタイムコードを受け取る方式です。
流れとしてはシンプルで、次のような感じです。
- ログイン時に登録済みメールアドレス宛にコードが届く
- 届いたコードをログイン画面で入力する
スマホにアプリを入れたくない人も多い会員制サイトなどでは、このメール方式を選ぶケースもよくあります。
特徴を簡単に整理すると、次の通りです。
・メリット
- 特別なアプリがいらない
- メールが受け取れれば、PCからでもスマホからでも対応できる
- 会員サイトなど、多様なユーザーにも案内しやすい
・デメリット
- メールが届かないトラブルに巻き込まれることがある
- メールアカウント自体が乗っ取られていると守りが弱くなる
個人ブログや小規模な会員サイトであれば、「まずはメール方式から試してみる」という始め方も現実的です。
【ちょっと一息♪】 私の妻がどうやって7日で初報酬を得て5万円の不労所得を得られるようになったか?
その全貌を知りたくありませんか?
セキュリティキー・バックアップコード
少し上級者向けになりますが、物理キー(セキュリティキー)やバックアップコードを組み合わせることもできます。
・セキュリティキー
- USBタイプの小さな物理キーをPCに挿して使う
- タッチすると認証されるタイプもある
・バックアップコード
- あらかじめ複数の「使い捨てコード」を発行しておく
- スマホ紛失などの緊急時に使用する
セキュリティキーは非常に強力ですが、対応しているプラグインが限られていたり、物理キー自体をなくすリスクもあるので、ここでは「そういう選択肢もある」と知っておく程度で大丈夫です。
WordPressで使える二段階認証プラグイン比較
ここからは、実際にWordPressに二段階認証を追加できる代表的なプラグインを紹介します。個人サイトや中小規模のサイトであれば、ここで挙げるプラグインから選べば大きく外すことはありません。
初心者向け「Two-Factor」の特徴
まずおすすめしたいのが「Two-Factor」というプラグインです。
私も最初に本番サイトへ導入したのがこのプラグインでした。
主な特徴は次の通りです。
- 無料で使える
- 画面がシンプルで迷いにくい
- メール方式と認証アプリ方式の両方に対応している
ざっくりまとめると、こんなイメージです。
| 項目 | 内容 |
|---|---|
| 対応認証方式 | 認証アプリ(TOTP)、メールコード、バックアップコードなど |
| 対応ユーザー | 管理者だけ、特定権限のユーザーだけなどを選択可能 |
| 画面のわかりやすさ | 比較的シンプルで、英語表記でも直感的に操作しやすい |
| 向いているケース | 個人ブログ、小規模な企業サイト、テストサイト |
メール方式から始めて、慣れてきたら認証アプリ方式に切り替える、といったステップアップがしやすいのもTwo-Factorの良いところです。
認証アプリ系プラグイン(Google Authenticator系)
「Google Authenticator」という名前を含むプラグインもいくつかあります。
やっていることはどれも似ていて、次のような流れになります。
- 設定画面でQRコードを表示する
- 認証アプリでQRコードを読み取る
- ログイン時にアプリの6桁コードを入力する
選ぶときのチェックポイントは、次のあたりです。
- WordPressの管理画面が重くならないか
- 複数ユーザーに対して個別に二段階認証を必須にできるか
- バックアップコードや緊急解除の手段が用意されているか
認証アプリ方式でしっかり守りたいなら、Two-FactorやWP 2FAなど、実績のあるプラグインを軸に選ぶと安心です。
多機能なWP 2FA・セキュリティプラグイン
より本格的にWordPressの二段階認証を運用したい場合は、「WP 2FA」やセキュリティ総合プラグインの二段階認証機能も候補になります。
・WP 2FA
- 二段階認証に特化したプラグイン
- 複数の認証方式や、細かいポリシー設定に対応している
・WordfenceやSolid Securityなどのセキュリティプラグイン
- ファイアウォールやログイン試行制限など、不正アクセス全般をまとめて対策できる
- その一機能として二段階認証が含まれている
ざっくり比較すると、次のような関係になります。
| プラグイン種類 | 強み | 向いているサイト |
|---|---|---|
| Two-Factor | シンプルで軽く、メール方式も使いやすい | 個人ブログ、小規模な企業サイト |
| WP 2FA | 二段階認証の設定項目が豊富で、細かなルールを設定しやすい | 複数ユーザーがいるメディア、会員サイト |
| Wordfenceなどの総合セキュリティ系 | 不正アクセス全般をまとめて対策しやすい | 攻撃が多いサイト、ビジネス色の強いサイト |
「できるだけ簡単に守りを一段上げたい」ならTwo-Factor、「ユーザー数が多くてルールをしっかり決めたい」ならWP 2FAや総合セキュリティ系、と考えると選びやすいです。
★ちょっとだけ宣伝させてください★ 「ブログで10万」と聞くと、 と思われがちですが、実は「勝ちパターン」を知っているかどうかだけなんです。 【稼げるキーワード教えます】
▼ ▼ ▼
実践!WordPress二段階認証の設定手順
ここからは、実際にWordPressに二段階認証を導入する流れを、なるべくわかりやすく説明します。例としてTwo-Factorプラグインを使いますが、ほかのプラグインでも大きな流れはほとんど同じです。
共通の事前準備(バックアップ・ログイン情報の整理)
いきなり本番サイトのログイン周りを触るのは少しリスキーなので、最低限次の準備だけはやっておきましょう。
- WordPressのファイルとデータベースのバックアップを取っておく
- 現在の管理者IDとメールアドレスをメモしておく
- レンタルサーバーの管理画面やFTPのログイン情報も確認しておく
特に、二段階認証を設定したあとに「ログインできない」という状態になると、FTPでプラグインを止めるなどの対応が必要になります。
そのときにサーバーの情報がわからないと、かなり焦ることになるので、ここは先にチェックしておきたいポイントです。
Two-Factorでの二段階認証設定手順
ここでは、Two-Factorで二段階認証を設定する流れをざっくりまとめます。
画面の細かい見た目は環境によって少し違いますが、全体のイメージは次の通りです。
| ステップ | やること | ポイント |
|---|---|---|
| 1 | Two-Factorプラグインをインストール・有効化する | 管理画面の「プラグイン > 新規追加」から |
| 2 | 自分のユーザープロフィール画面を開く | 「ユーザー > プロフィール」を選択 |
| 3 | 二段階認証の方式(メール or 認証アプリ)を選ぶ | 最初はメール方式がわかりやすい |
| 4 | 認証アプリを使う場合はQRコードを読み取る | Google Authenticatorなどでスキャン |
| 5 | テストコードを入力して動作を確認する | ログインテストで実際に試しておく |
それぞれを少し詳しく見ていきます。
・ステップ1:プラグインのインストール
- WordPress管理画面の「プラグイン > 新規追加」を開く
- 検索窓に「Two-Factor」と入力して検索する
- 見つかったら「今すぐインストール」→「有効化」をクリック
・ステップ2:ユーザープロフィール画面を開く
- 管理画面の「ユーザー > プロフィール」を開く
- ページの下の方に「Two-Factor」という項目が追加されている
・ステップ3:二段階認証方式を選ぶ
- 「メール」「認証アプリ(TOTP)」などの選択肢があるので、使いたいものにチェックを入れる
- 最初はメール方式にしておき、慣れてきたら認証アプリ方式に切り替えるのもおすすめ
・ステップ4:認証アプリを設定する場合
- 認証アプリ方式を選ぶと、QRコードが表示される
- スマホのGoogle AuthenticatorなどでQRコードを読み取る
- アプリ側に表示された6桁コードを確認しておく
・ステップ5:テストコードを入力して保存
- 設定画面に「テストコード」や「確認」といったボタンがあれば押す
- アプリやメールに届いたコードを入力して、正しく認証されるか確認する
- 問題なければ「変更を保存」をクリックする
ここまでできれば、次回ログイン時から二段階認証が動くようになります。
認証アプリでのログイン手順と確認ポイント
実際に二段階認証を使ってログインするときの流れも、最初に一度体験しておきましょう。
- いつもどおりログイン画面でIDとパスワードを入力する
- 次の画面で「認証コード」の入力欄が表示される
- スマホの認証アプリを開き、該当サイトの6桁コードを確認する
- コードを入力してログインする
このとき、合わせて次のポイントもチェックしておくと安心です。
- コードの有効時間が切れていないか(数字の横にタイマーが表示されることが多い)
- スマホの時刻が大きくずれていないか(ずれていると認証に失敗しやすい)
- 複数サイトを登録している場合、間違ったサイトのコードを見ていないか
一度成功してしまえば、あとは毎回同じ流れです。
慣れてしまえば、体感としては10秒前後でログインできるようになります。
★ブログでは公開できない裏情報★ 例えば、 などをこっそり暴露しています。ぜひ公開停止する前に受け取ってください。
私の発行するメルマガではブログでは公開できない秘匿性が高い特別な情報を発信しております。
運用とトラブル対策で失敗しないWordPress二段階認証
二段階認証の導入自体はそれほど難しくありませんが、「運用」と「トラブル時の対処」まで考えておくと安心感が大きく変わります。ここでは、よくあるつまずきポイントを先回りしてつぶしておきます。
スマホ紛失・機種変更時の対処
認証アプリ方式で一番怖いのが、スマホをなくしたり機種変更したときです。私も機種変更のときに、一部のサービスでログインできず冷や汗をかいたことがあります。
事前にやっておきたいことは、次の通りです。
- バックアップコードを発行して、安全な場所に保管しておく
- 可能なら、別の管理者アカウントでもログインできるようにしておく
- レンタルサーバーの管理画面やFTPの情報を手元に控えておく
スマホをなくしてしまった場合は、次のようなルートで復旧することになります。
- バックアップコードでログインし、二段階認証を一時的にオフにする
- 別の管理者アカウントでログインして、問題のアカウント設定を修正する
- どうしても無理な場合は、FTPでプラグインを無効化する
「スマホが壊れた=サイトに二度と入れない」にならないように、バックアップコードとサーバー情報だけは必ず控えておきましょう。
ログインできないときのチェックリスト
二段階認証を入れたあとに「なぜかログインできない」という相談もよくあります。
原因をざっくり整理すると、次のようなパターンが多いです。
| よくある原因 | まず試すこと |
|---|---|
| 認証コードの有効時間切れ | アプリで新しいコードに切り替わるまで待ってから入力し直す |
| スマホとサーバーの時刻ずれ | スマホの時刻設定を自動にして、再度試す |
| 間違ったサイトのコードを見ている | アプリ内でサイト名を確認してから再入力する |
| プラグイン同士の競合 | ほかのログイン系プラグインを一時停止してみる |
| ブラウザのキャッシュやCookieの問題 | シークレットモードや別ブラウザで試してみる |
それでもダメな場合は、サーバーのファイルマネージャーやFTPから、二段階認証プラグインのフォルダ名を一時的に変更して無効化する方法もあります。
これでいったん通常ログインに戻してから、原因を落ち着いて調べると安心です。
会員制サイト・複数ユーザーでのポリシー設計
自分だけが使うブログならそこまで悩みませんが、複数ユーザーがいるサイトや会員制サイトでは「誰に二段階認証を必須にするか」を決める必要があります。
私がよく提案するざっくりルールは次のようなものです。
- 管理者(Administrator):二段階認証は必須にする
- 編集者(Editor):できれば必須にする
- 投稿者(Author)・寄稿者(Contributor):任意だが強く推奨する
- 購読者(Subscriber):会員サイトの性質に応じて検討する
また、メール方式と認証アプリ方式を組み合わせて、次のように使い分けるのもありです。
- 社内メンバーや担当者:認証アプリ方式を使う
- 一般ユーザーや会員:メール方式を使う
こうしておくと、「アプリを入れたくない」というユーザーにも配慮しつつ、管理権限を持つ人だけはしっかり守る、というバランスが取りやすくなります。
二段階認証だけに頼らないWordPressセキュリティ
二段階認証はとても強力ですが、それだけですべての攻撃を防げるわけではありません。ここでは、二段階認証とセットでやっておきたい、シンプルなWordPressセキュリティ対策も簡単に触れておきます。
ログイン周りの基本設定(ID/パスワード・URL変更)
まずは、ログイン周りの「基本のキ」です。
- 推測されやすいID(adminなど)を使わない
- 長くてランダムなパスワードを使う(パスワード管理アプリの利用も検討)
- ログインページのURLを変更するプラグインを使う
- ログイン試行回数を制限する
特に「admin」というユーザー名を使っているサイトは本当に多いです。
二段階認証を入れる前に、まずはIDとパスワード周りを見直しておきたいところです。
これらの対策を、わかりやすく表にすると次のようになります。
| 対策内容 | 効果のイメージ | 難易度 |
|---|---|---|
| 管理者IDを推測されにくくする | IDがバレにくくなり、総当たり攻撃に強くなる | 低 |
| 強力なパスワードにする | パスワード単体で突破されにくくなる | 低 |
| ログインURLを変更する | 自動攻撃のボットに狙われにくくなる | 中 |
| ログイン試行回数を制限する | パスワードを何度も試されるのを防げる | 中 |
二段階認証は「最後の砦」なので、その前にある扉(IDとパスワード)も、できる範囲で強くしておきたいところです。
★ちょっとブレイク★ 「あと3ヶ月早くこの情報を知りたかった…」 そうならないために、今すぐ実践したいノウハウをギュッと一つのメルマガに詰め込みました。 無料で読めるうちに受け取っておいてください。
セキュリティプラグインとバックアップ
二段階認証に加えて、次のような対策もセットでやっておくと安心です。
- セキュリティプラグインを1つ導入する
- 定期的なバックアップを取る
セキュリティプラグインには、次のような機能が含まれていることが多いです。
- 不正ログインの監視
- ファイル改ざんの検知
- ログイン試行回数の制限
バックアップについては、プラグインで自動バックアップを設定し、可能であれば外部ストレージにも保存しておくと安心です。
私がサイトを任されたときは、最低限次の三点セットをおすすめしています。
- 管理者アカウントには二段階認証を入れる
- セキュリティプラグインを1つ導入する
- 自動バックアップを設定しておく
この三つが揃っているだけでも、「何もしていないサイト」と比べると安全性はかなり違ってきます。
私がやっているミニマム対策セット(体験談)
最後に、私が自分のサイトで実際にやっているミニマム対策セットも紹介しておきます。
- 管理者IDは推測されにくい文字列に変更する
- パスワードはパスワード管理アプリで長いものを自動生成する
- Two-Factorで認証アプリ方式の二段階認証を有効化する
- セキュリティプラグインでログイン制限と改ざんチェックを行う
- バックアッププラグインで自動バックアップを設定する
最初に設定をまとめてやってしまえば、その後はほとんど手間はかかりません。
ログイン時に認証コードを入れるクセさえつけば、ストレスもそこまで感じないはずです。
よくある質問(FAQ)
Q1. WordPressの二段階認証は、個人ブログでも必要ですか?
A. 私の考えとしては、「できれば入れておいた方がいい」です。
個人ブログは狙われないと思われがちですが、実際には「WordPressで動いている」という理由だけで自動攻撃の対象になります。
アクセスが少なめのサイトでも、二段階認証を入れておくことで乗っ取りリスクをかなり減らせます。
Q2. メール方式と認証アプリ方式、どちらでWordPressの二段階認証を始めるべき?
A. 最初の一歩としてはメール方式がわかりやすく、慣れてきたら認証アプリ方式に移行するのがおすすめです。
メール方式はアプリのインストールが不要で、どの端末からでも使いやすいというメリットがあります。
一方で、メールアカウントが乗っ取られた場合のリスクもあるので、「しっかり守りたい」と感じたら認証アプリ方式へ切り替えると安心です。
Q3. 二段階認証を入れたあと、WordPressにログインできなくなったらどうすればいい?
A. 焦らず、次の順番で確認してみてください。
- 認証コードの有効時間切れや入力ミスがないかチェックする
- スマホの時刻設定が正しいか確認する
- 別ブラウザやシークレットモードで再度ログインしてみる
- サーバーのファイルマネージャーやFTPから、二段階認証プラグインを一時的に無効化する
最後の手段としてプラグインを止めれば、通常のログインに戻せます。
そのうえで原因を確認しつつ、もう一度落ち着いてWordPressの二段階認証を設定し直すとよいです。
まとめ:今日からできる一歩
この記事のポイントを簡単に整理します。
- WordPressは攻撃の対象になりやすく、パスワードだけでは不正ログインのリスクをゼロにはできない
- 二段階認証は、「ID+パスワード」に「スマホやメールのコード」を足すことで安全性をぐっと高める仕組み
- Two-FactorやWP 2FAなどのプラグインを使えば、個人ブログでも比較的簡単に二段階認証を導入できる
- スマホ紛失やログインできないトラブルに備えて、バックアップコードやFTP情報を控えておくことが大切
- 二段階認証に加えて、ID・パスワードの見直し、セキュリティプラグイン、バックアップもセットで考えると安心
今日から取るべき最初の一歩としては、まずあなたのWordPressにログインして「Two-Factor」などのプラグインをインストールし、管理者アカウントだけでも二段階認証を試してみることです。
一度設定してしまえば、あとは毎日のログイン時にコードを入力するだけで、サイトの守りはグッと固くなります。
あなたの大切なブログやサイトを守るために、ぜひこのタイミングでWordPressの二段階認証を導入してみてください。
【深呼吸タイム】 稼ぐために必要な3つのポイントを知っていますか? これら全部を暴露します。
記事を読んだらコチラ
▼ ▼ ▼
