WordPressの2要素認証
二要素認証でユーザーアカウントを保護し、アカウントの乗っ取りを防ぐ方法
English version: Two-Factor Authentication for WordPress
二要素認証または2FAは、ユーザー名とパスワードだけでなく、識別の2番目の要素を必要とするセキュリティの追加レイヤーを提供します。二要素認証は、銀行や保険会社で処理される個人データや財務データへのアクセスを制御するために長い間使用されてきました。そして今日、ウェブサイトの所有者は、弱いまたは盗まれたWordPressパスワードや侵害されたクレデンシャルを悪用するサイバー犯罪者からユーザーのアカウントを保護するために、ますます2FAを使用しています。
Webサイトで2FAが有効になっている場合、ユーザーはWebサイトにサインインするときに追加の確認PINコードを提供する必要があります。この確認コードは自動的に生成され、電子メールでユーザーに送信されます。追加のセキュリティ対策として、特に2FA検証コードを配信するために、ユーザーごとに個別の電子メールアドレスを指定できます。
続行するには、ユーザーはフォームに確認PINコードを入力する必要があります。ユーザーがコードを受け取らなかった場合は、別のコードを取得するか、ログインプロセスをキャンセルすることができます。
二要素認証を有効にする方法
ユーザーポリシーの管理ページで、役割ごとに2FAを簡単に有効にできます。 WP Cerber Securityを使用すると、役割ごとに異なる2FA設定を構成できます。詳細モードでは、特定の役割に2要素認証を適用するための一連の条件を指定できます。 Advancedモードは、Professionalバージョンのプラグインで使用できます。
注:管理者のアカウントで2FAを有効にする前に、Webサイト上の他の役割で2FAを有効にしてログインを1回成功させる必要があります。
ユーザーごとの2FA設定
ユーザー編集ページ(ユーザープロファイルページ)で、ユーザーごとにいくつかの2FA設定をカスタマイズできます。ロールごとの2FA設定に加えて、特定のユーザーの2要素認証を無効または有効にすることができます。 「常に有効」、「無効」、「ユーザーロールポリシーによって決定」から選択できます。この機能は、WPCerberのプロフェッショナルバージョンで利用できます。
追加のセキュリティ対策として、確認コードを配信するための個別の電子メールアドレスを指定できます。
IPアドレスのホワイトリストへの登録
ホワイトIPアクセスリストのIPアドレスからログインしているすべてのWordPressユーザーは、2要素認証の実施から除外されます。
二要素認証イベントの監視
ユーザーに2要素認証が適用されると、WPCerberはこのイベントを「2要素認証が適用されました」としてアクティビティログに記録します。この時点で、新しい確認PINコードが生成され、ユーザーに送信されます。ユーザーが正しい確認PINコードを入力すると、ログインイベントは「2FAコード確認済み」としてマークされます。
二要素認証で行われたユーザーログインを監視するには、アクティビティログに移動し、ドロップダウンリストから[二要素認証が実施されました]イベントを選択して、[フィルター]ボタンをクリックします。
複数のWebサイトで2FA設定を管理する方法
任意の数のWebサイトで2FA設定をリモートで監視および管理できることをご存知ですか?メインWebサイトでCerber.Hubマスターモードを有効にし、他のWebサイトでスレーブモードを有効にして、すべてのWP Cerber設定を管理し、クリックするだけでWebサイトを切り替えることで1つのWordPressダッシュボードからユーザーアクティビティを監視します。
一部の2FA機能は、プロフェッショナルバージョンでのみ使用できることに注意してください。
特徴 | 無料 | プロ |
標準の2FAモード | はい | はい |
高度な2FAモード | 番号 | はい |
ユーザーごとの2FAポリシー | 番号 | はい |
2FAコード用の個別のメールアドレス | 番号 | はい |
複数のWebサイトでの2FAの管理 | 番号 | はい |