| 2026.02.21 | 記事の最後に「2段階認証に関するFAQ」を追加 |
WordPressは、標準では「ユーザー名またはメールアドレス」+「パスワード」の認証でログインします。
ただ、この組み合わせだと辞書攻撃などで認証が突破される可能性があるんですよね。
そうなると、「不正ログイン」によるページの改ざんなどの被害にあうわけです。
パスワードはわかりにくいものにしたつもりだけど、、、
「ユーザー名」+「パスワード」の組み合わせに、さらに2段階認証コードを入力することで、不正ログインのリスクをぐっと下げることができます。
なお、「CloudSecure WP Security」では、2段階認証として認証用アプリまたは、メールが利用できるようになっているので、好きな方を選べますよ。
この機会に、2段階認証を導入してみましょう!
プラグイン「CloudSecure WP Security」とは?
今回、2段階認証の設定をするWordPressプラグインは「CloudSecure WP Security」です。
「CloudSecure WP Security」はXServerが開発・公開しているプラグインであり、XServerの「WordPress簡単インストール」でWordPressと一緒にこのプラグインをでインストールすることができます。
プラグイン「CloudSecure WP Security」のインストール手順
XServer以外の環境で、プラグイン「CloudSecure WP Security」をインストールする手順です。
あらかじめWordPressにログインし、以下の手順でインストールしてください。
左のメニューの「プラグイン」(①)→「プラグインを追加」(②)とクリック。
「CloudSecure WP Security」と入力。(入力すると自動で検索される)
「今すぐインストール」→「有効化」とクリック。
インストールしたら、以下の記事を参考にして「CloudSecure WP Security」の基本設定を済ませましょう。
「CloudSecure WP Security」で2段階認証を設定する
では、プラグイン「CloudSecure WP Security」で2段階認証(2要素認証)を設定してみましょう。
バージョンが1.4.0以上になっているか確認してください。
古いバージョンの場合は、WordPressのメニュー「ダッシュボード」→「更新」から「CloudSecure WP Security」をアップデートしてください。
「2段階認証」の有効化
まず、「2段階認証」が使えるように有効化します。
WordPressの左メニュー「CloudSecure WP Security」(①)→「2段階認証」(②)とクリック。
「有効」(①)→「変更を保存」(②)とクリック。
「2段階認証」の設定
2段階認証が利用できるようになったので、設定をしていきます。
WordPressの左メニュー「2段階認証の設定」をクリック。
「設定方法」の右にある「設定」をクリック。
「2段階認証」にメールを利用する
「2段階認証」では認証用のアプリ(Google Authentiacator)か、メールが利用できます。
ここではメールを利用する手順で進めます。
「メールアドレスで認証する」を選択し、「次へ」をクリック。
この時、「【サイト名】2段階認証コード」という件名のメールが届くので、メールに記載されているセットアップ用の認証コードを確認します。
※認証コードの有効期間は1分とかなり短いので注意してください。
1分経過した場合は、認証コードの再送信操作が必要となります(後述参照)
メールの認証コードを入力し、「設定を完了」をクリック。
以下のようなエラーが出る場合は、入力ミスかコードの有効期限切れが原因です。
届いたメールにも書いているように認証コードの有効期間は1分なので、時間が経過している場合は「認証コードを再送信」をクリックして、今度は1分以内に入力しましょう。
リカバリーコードを生成・保存する
2段階認証の設定は完了したので、次はリカバリーコードを生成して保存します。
※リカバリーコードというのは、なんらかの事情により2段階認証コードを取得(確認)できない状態をリカバリーするための、最後の手段となる認証コードのことです。
「リカバリーコードを生成」をクリック。
10個のリカバリーコードが生成されるので、「ダウンロード」ボタンをクリックし、テキストファイルのリカバリーコードを任意のフォルダに保存してください。
設定した2段階認証を確認してみる
2段階認証の設定が完了したので、実際に2段階認証を使ったログインをやってみましょう。
WordPressにログインした状態の場合、画面右上の「こんにちは、XXXさん」(①)→「ログアウト」(②)をクリックして、ログアウトします。
「ユーザー名またはメールアドレス」、「パスワード」、画像認証用の文字を入力して、「ログイン」をクリック。
※「CloudSecure WP Security」で画像認証を有効にしていた場合は画像認証が必要です。
この時に、2段階認証用のコードが記載されたメールが届くので確認します。
メールの2段階認証用のコードを入力して「ログイン」をクリック。
以下のエラーが発生した場合は、入力ミスか有効期限切れのどちらかが原因です。
1分以上経過していた場合は「再送信」をクリックして、届いたメールに記載されている認証コードを入力しましょう。
リカバリコードを使った認証手順
認証アプリにしろ、メールにしろ、なんらかの事情で2段階認証用のコードが取得(確認)できない時に、代わりとなるリカバリーコードによる認証ができます。
まさに、リカバリーなんです。
ここでは、リカバリーコードを使った認証の手順を解説します。
「ユーザー名」+「パスワード」の入力後の以下の画面で、一番下の「リカバリーコードを使用する」をクリック。
保存していたリカバリーコードのテキストファイルから、任意のリカバリコードを1個コピーします。
※リカバリーコードは1行で1個です。
コピーした「リカバリーコード」を入力して「ログイン」をクリック。
これで、リカバリーコードによるログインできるはずです。
注意点として、一度使ったリカバリーコードは二度と使えないので、次にリカバリーコードを使う場合は入力していないコードを入力してください。
↑10個の中で2個使ったので、残り8個となっている
2段階認証に関するFAQ
2段階認証に関するFAQをまとめてますよ
認証の専用アプリ以外にも2段階認証できる方法はありますか?
この記事で紹介しているプラグイン「CloudSecure WP Security」の場合は、認証アプリ以外にメールでの認証が可能です。(メールに認証用コードが届く)
どちらの方法でも構わないので、お好きな方法で認証してください。
2段階認証コードが届くメールアドレスはどれですか?
認証コードは、WordPressにログインしようとしているユーザーのメールアドレスに届きます。
メールアドレスがわからなくなった場合は、以下の手順で確認してください。
WordPressの左メニューの「ユーザー」(①)→「ユーザー一覧」(②)とクリック。
「ユーザー一覧」画面で、今からログインしようとしているユーザーのメールアドレスが確認できます。
リカバリーコードとはなんですか?
2段階認証コードは、認証用アプリ(Google Authenticatorなど)かメールを利用して取得(確認)ができます。
しかし、アプリが使えなくなったり、メールが届かない・読めないなどの事態が発生した場合に、2段階認証コードの代わりに認証できるのがリカバリーコードです。
リカバリーコードの生成手順は以下を参考にしてください。
WordPressプラグイン「CloudSecure WP Security」を使って2段階認証の設定を解説しましたが、「ユーザー名」と「パスワード」だけでは、認証を突破されて不正ログインされるリスクがあるため、2段階認証の導入を強くおすすめします。
2段階認証は不正ログインを防ぐ有効な手段ですよ
コメント