Loading...

2016年9月29日

【WordPress】2要素認証(二段階認証)の追加(WP Google Authenticator)

以前、「WordPressで2段階認証」というタイトルで、Rublonというプラグインを紹介しました。Rublonは、メールアドレスも利用可能な2要素認証として、ご紹介しましたが、今回はGoogle Authenticatorを利用したプラグインをご紹介します。

Google Authenticatorとは?

Google Authenticatorとは、Google社が提供しているワンタイムパスワードシステムです。これを利用すると、1分ごとにパスワードが変わるため、そのときに表示されているパスワードが漏洩しても全く問題がありません。似たものとしては、RSA SecurIDなどもあります。
利用には、iOSやAndroidなどが必要です。スマホが用意できない環境だと、導入の敷居は高いです。

インストール方法

前提条件

WordPressがインストールされているものとします。WordPressのインストールは、様々なところで紹介されていると思いますので、割愛させていただきます。
なお、新しいプラグインを導入する際は、本番環境でいきなり適用せず、テスト環境などを作り、そこでテストを行い、他の環境に影響がないことを確認して、行ってください。本ドキュメントにより生じた事故等は責任が負えませんので、ご了承ください。

プラグインのインストール

1.プラグインメニューにいって、「新規追加」をクリックします。

2.右上の検索ボックスに「WP Google Authenticator」と入力し、エンターを押下します。

3.1番目に表示されているもの(微妙に名前が違いますが、これです。(名前があやふやな場合でも、評価の数やダウンロード数などで判断すると、比較的安全なものかそうでないのか判断しやすいです)
4.「今すぐインストール」をポチっと押下すると、さくさくとインストールが始まります。次の画面に遷移したら、「プラグインを有効化する」をクリックして、プラグインの有効化します。

初期設定

1.設定メニューの中に「Authenticator」というメニューができますので、これをクリックしてください。

2.設定画面が英語なので、少々とっつきにくいですが、順にご説明します。

General

  • Activate Plugin:2段階認証を有効にする場合は、チェックを付けてください。
  • Force Use:強制的に使用させる場合は、チェックを付けてください。チェックを付けない場合は、ユーザーが任意に2段階認証を使うか使わないか決められます。ユーザーが全員スマホを使っている環境の場合は、ぜひ適用してください。
  • Force Roles:前の「Force Use」にチェックを付けた場合だけのメニューになります。全員に適用させるのか、管理者だけにするのか、という設定が可能です。書き込み権限がない役割(Role)には、2段階認証を使わなくてもよいというシナリオも可能です。
  • Site Name:Google Authenticatorで表示される名称になります。通常は、サイト名でよいのではないかと思います。
Security

  • Max Attempts:パスコードの入力間違いの許容回数です。このあたりは、デフォルトの3でよいと思われます。
  • Authorized Clock Desynchronization:ここも特に、設定を変える必要はありませんが、先ほども説明したとおり、Google Authenticatorは時間でパスコードを変更するため、うまくサーバー側の時間と同期していないと正しく動作しないときがあるようです。そのタイミングを調整するものと思ってください。

問題がなければ、「Save」をクリックして保存します。

各ユーザーごとの設定

1.各ユーザーでログインしていただき、プロフィール画面を表示します。そうすると、下の方に、以下のような画面が表示されます。

2.「WP Google Authenticator Settings」というところで設定を行っていきます。「Generate Key」というところをクリックすると、認証用キーが生成できます。この時点では、上の「Active」には、チェックを入れないほうがよいです。

Google認証アプリの導入

ダウンロード

ここからは、iPhoneアプリでの操作となります。iPhoneの場合は、App Store。Androidの場合は、Google Playになります。
App Storeで「Google認証」と検索すると、以下のように表示されますので、インストールしてください。無料です。

起動

インストールしたアプリをタップしていただき、起動してください。以下のような画面(画像は加工しています。インストールした直後は、真ん中部分は何も表示されていない状態です)が表示されます。

コードのインストール

ここでWordPressに戻っていただき、プロフィール画面の下の「WP Google Authenticator」の個人設定の画面で、SecretのGet QR Codeをクリックします。すると、以下のような画面がでます。(こちらも画像加工しています。)

これをiPhoneのGoogle認証アプリからカメラでQRコードを撮影します。

撮影しているのを撮ってます。うまく撮れない。。。

Google認証を使ってログイン

これまでですべて設定が完了しているので、WordPressのログイン画面から、ログインするだけです。

うまく、ログインできましたか?これで多少簡単なパスワードでも、少し安心感が出るかもしれません。

お問い合わせ

案件のご依頼やご相談などお気軽にご相談ください。

ご依頼やご相談はこちらから
ページトップへ
Menu