Google AuthenticatorプラグインでWordPressブログを2段階認証に設定する方法

[対象: 全員]

Gmailをハッキングされた事件がいくつか年末に報告され、セキュリティを強化するためにGoogleが提供する2段階認証プロセスを実装した人もいるのではないでしょうか。

しかし僕のようなブロガーにとってはブログのセキュリティもメール同様に非常に重要です。

そこでこの記事では、Google認証システムを利用してWordPressのブログを2段階認証に対応するための設定方法を解説します。

WordPressを2段階認証にするには3つのステップが必要になります。

  1. Googleアカウントで2段階認証プロセスを有効にする
  2. 手持ちのスマートフォンにGoogle認証システムのアプリをインストールし設定する
  3. WordPressにGoogle Authenticatorプラグインをインストールし設定する

順に説明します。

1. Googleアカウントで2段階認証プロセスを有効にする

まずGoogleアカウントの2段階認証プロセスを有効にします。

具体的な手順はヘルプを参照してください。

また設定方法を丁寧に解説した記事がネットにはたくさん公開されているのでヘルプだけではわからないところがあれば検索して調べてください。

なお、次の手順「2」で説明するコードを生成するスマートフォンとしてiPhoneを使うときは2段階認証を有効にしておかなくてもWordPressだけを2段階認証にできるようです(少なくとも僕が試した限りでは)。

2. 手持ちのスマートフォンにGoogle認証システムのアプリをインストールし設定する

2段階認証で使うためのコード(専用のパスワード)を生成するためのアプリをスマートフォンにインストールします。

設定は簡単で、インストールしたのちGoogleアカウントをひも付けするだけです。

Android端末では2段階認証を有効にしてあるGoogleアカウントを指定します。

一方iPhoneでは、存在すらしない適当なメールアドレスを指定してもWordPressの2段階認証に限っては正常に動作します(とはいえ、このアプリはWordPress以外のGoogleの2段階認証を使うサービスに利用できるので2段階認証を有効にしたGoogleアカウントを素直に指定すべきですが)。

3. WordPressにGoogle Authenticatorプラグインをインストールし設定する

次は、2段階認証用のプラグインをWordPressにインストールします。

インストールして有効にしてください。

2段階認証を使うかどうかはユーザー単位で設定可能です。

2段階認証を有効にするユーザーのプロフィール管理ページにアクセスします。

「Google Authenticator Settings」という項目が加わっています。

Google Authenticatorプラグインの設定

「Active」にチェックを入れ機能を有効にします。

「Description」にはそのブログの簡単な説明を入力します。
スマートフォンのアプリでの識別情報に利用されます。

管理するブログが1つだけならそのまま「WordPressBlog」にしておいて構いません。

ただしiPhoneを使っているときは注意点が1つあります。

Descriptionが「スペース」を含んでいるとこのあと説明するQRコードでのスキャンに失敗します(今は無視できますが、デフォルトのDescriptionが以前のバージョンでは「WordPressBlog」ではなくスペースを挟んだ「WordPress Blog」になっていました)。

「Secret」はWordPressのプラグインとスマホのアプリを連携させるための“シークレットキー”です。

右端にある「Show/Hide QR Code」ボタンを押すとシークレットキーのQRコードが出てきます。
アプリ側にスキャンを実行するメニューがあるのでカメラをかざして読み取らせると簡単です。

スキャンがうまくいかない、あるいはカメラがない(!)ときには「Secret」のとなりに表示されている英数字のシークレットキーを正確に入力します。

先ほど説明したようにDescriptionがスペースを含んでいるとiPhoneではQRコードを正しく読み取ることができません(Descriptionに基いてバーコードが生成される)。
iPhoneを利用していてスペースを含んだDescriptionにしているならシークレットキーを手入力すればいいでしょう。

「Create new secret」ボタンを押すと新しいシークレットキーを生成できます。
何らかの理由で新しいシークレットキーを使いたいときに利用します。

「Relax mode」と「Enable App Password」は何もしなくて構いません。
何のための機能か知りたければ自分でお調べください。

設定し終わったらページ下にある「プロフィールを更新」ボタンを忘れずに押しましょう。

これで設定は完了です。

次はいよいよ2段階認証でWordPressの管理ページにログインします。

プラグインの「Google Authenticator」を有効にした状態だとログインページに「Google Authenticator code」という入力ボックスが追加されています。

Google Authenticatorが有効なWP のログインページ

ここに2段階認証用のコードを入力します。

スマホにインストールした「認証システム」アプリを開きます。

6桁の数字が表示されています。
2段階認証用の「コード」です。

Google認証アプリが生成したコード

このコードをWordPressのログインページの「Google Authenticator code」ボックスに入れてログインします。

なおプラグインを有効にしてあってもユーザープロフィールでプラグインの使用をアクティブにしていないユーザーはコードは不要で未入力でログインできます。

またWordPressのログイン時に「ログイン状態を保存する」にチェックを入れておけば認証コードを毎回毎回入力する必要はありません。

ログイン時に使用するコードは一定時間ごとに新たに生成される、いわゆる「ワンタイムパスワード」になります。
仮に第三者に知られたとしても時間が過ぎれば無効になります。

またWordPressのプラグインが生成するシークレットキーとリンクづけされた認証アプリがないと有効なコードが手に入りません。
したがってWordPressのパスワードだけではログインできません。
言い換えると、あなたのスマートフォンがないとあなたのユーザーアカウントとしてWordPressにログインできないのです。

WordPressで2段階認証を利用することでアカウントセキュリティが格段に高まります。
あなたにとってWordPressのブログが大切なものであるなら実装することを強く推奨します。
不正ログインされてからでは遅すぎますからね。

ちなみに今回アプリとして使用したGoogle認証システムはGmailなどのGoogleアカウントでログインするサービスにも利用できます。

Googleアカウントの2段階認証ではコードがメールで送られてきますが、Google認証システムを使えばこのアプリが生成するコードを利用可能です。
わざわざメールでコードを受け取ることなくアプリを起動して表示されるコードを使って2段階認証ログインできます。
とても便利ですよ。

詳しい説明はこちらをご覧ください。