WordPressの2要素認証
二要素認証でユーザーアカウントを保護し、アカウント乗っ取りを防ぐ方法
English version: Two-Factor Authentication for WordPress
2要素認証( 2FA)は、ユーザー名とパスワードに加え、2つ目の認証要素を必要とすることで、セキュリティをさらに強化します。2要素認証は、銀行や保険会社で処理される個人情報や金融データへのアクセスを制御するために長年利用されてきました。そして今日、ウェブサイト所有者は、脆弱なWordPressパスワードや盗難された認証情報を悪用するサイバー犯罪者からユーザーアカウントを保護するために、2FAを利用するケースが増えています。
ウェブサイトで2FAを有効にすると、ユーザーはウェブサイトへのサインイン時に追加のPINコードの入力を求められます。この確認コードは自動的に生成され、ユーザーにメールで送信されます。追加のセキュリティ対策として、2FA確認コード送信専用のメールアドレスをユーザーごとに指定することもできます。
続行するには、ユーザーはフォームに確認PINコードを入力する必要があります。コードを受け取っていない場合は、別のコードを取得するか、ログインプロセスをキャンセルすることができます。
二要素認証を有効にする方法
ユーザーポリシー管理ページで、権限グループごとに2要素認証を簡単に有効化できます。WP Cerber Securityでは、権限グループごとに異なる2要素認証設定を設定できます。詳細モードでは、特定の権限グループに対して2要素認証を強制するための条件を指定できます。詳細モードは、プラグインのProfessional版で利用可能です。
注意: 管理者のアカウントに対して 2FA を有効にする前に、Web サイト上の他のロールに対して 2FA を有効にして 1 回のログインに成功する必要があります。
ユーザーごとの2FA設定
ユーザー編集ページ(ユーザープロフィールページ)では、ユーザーごとに2要素認証の設定をカスタマイズできます。ロールごとの2要素認証設定に加え、特定のユーザーに対して2要素認証を有効または無効にすることもできます。「常に有効」、「無効」、「ユーザーロールのポリシーに基づいて決定」から選択できます。この機能はWP Cerberのプロフェッショナル版でご利用いただけます。
追加のセキュリティ対策として、確認コードの配信専用の別のメールアドレスを指定できます。
IPアドレスのホワイトリスト
ホワイト IP アクセス リスト内の IP アドレスからログインしているすべての WordPress ユーザーは、2 要素認証の強制から除外されます。
2要素認証イベントの監視
ユーザーに2要素認証が強制されると、WP Cerber はこのイベントをアクティビティログに「2要素認証強制」として記録します。この時点で新しい検証PINコードが生成され、ユーザーに送信されます。ユーザーが正しい検証PINコードを入力すると、ログインイベントは「2要素認証コード検証済み」として記録されます。
2 要素認証を使用して行われたユーザー ログインを監視するには、アクティビティ ログに移動し、ドロップダウン リストから「2 要素認証の強制」イベントを選択して、フィルターボタンをクリックします。
複数のウェブサイトで2FA設定を管理する方法
任意の数のウェブサイトの2FA設定をリモートで監視および管理できることをご存知ですか? Cerber.Hubのリモート管理テクノロジーを有効にすると、1つのWordPressダッシュボードからすべてのWP Cerber設定を管理し、ユーザーアクティビティを監視できます。
一部の 2FA 機能はプロフェッショナル バージョンでのみ利用できることに注意してください。
特徴 | 無料 | プロ |
標準2FAモード | はい | はい |
高度な2FAモード | いいえ | はい |
ユーザーごとの2FAポリシー | いいえ | はい |
2FAコード用の別のメールアドレス | いいえ | はい |
複数のウェブサイトで2FAを管理する | いいえ | はい |