二段階認証に最適なWordPressプラグイン

すべてのウェブサイトのログイン情報とパスワードを覚えておくのは大変な作業です。パスワードマネージャーにすべてのパスワードを保存していても、完全に安全とは限りません。例えば、公共のWi-Fiネットワークなど、安全性の低い接続でログインすると、パスワードが盗まれる可能性があります。

もし過去にこの件で嫌な経験をしたことがあるなら、様々なアカウントのログイン情報やパスワードを安全に保護する方法の必要性を理解しているはずです。これはほぼ全てのアカウントに当てはまります。メール、ソーシャルメディア、ウェブサイト、そして特に銀行口座がハッキングされるのは絶対に避けたいものです。ハッキングされるとオンラインでの評判が地に落ち、深刻な問題に直面することになります。

同様に、複数のウェブサイトを運営していて常にオンラインで作業している場合は、物事をきちんと管理できるツールを使う必要があります。自分自身やクライアントのためにWordPressサイトを管理している場合は、ハッカーやその他の潜在的な脅威からサイトを適切に保護する方法を見つける必要があります。そのため、管理者アカウントに追加の二重保護レイヤーを設けるのは理にかなっています。

二段階認証メカニズムを使用すると、特別な認証プラグインを使ってWordPressアカウントを保護できます。これにより、スマートフォンを使ってWordPress管理パネルにアクセスできるため、ログイン情報やパスワードが漏洩した場合でも、誰もあなたのウェブサイトに不正アクセスすることはできません。

WP Cerber Securityには高度な二段階認証機能がありますが、無料および有料の二段階認証WordPressプラグインをいくつか詳しく見ていきましょう。

Google Authenticator プラグイン

Google Authenticatorが、現在利用可能な二段階認証プラグインの中で最も人気のあるものの1つであることは間違いありません。しかし、Google Authenticatorは実際にはモバイルアプリケーションの名前であり、プラグインはそのアプリケーションにちなんで名付けられたものであるため、誤解しないでください。

スマートフォンをお持ちであれば、このプラグインを使えば、WordPressウェブサイトを最も便利な方法で保護できます。Android、iPhone、Blackberry向けのGoogle認証システムモバイルアプリを使用して、ウェブサイトを保護できます。

二段階認証の要件は、ユーザーごとに有効にすることができます。管理者アカウントでは有効にし、権限の低いアカウントでは通常どおりログインすることも可能です。

プラグインリンク： https://wordpress.org/plugins/google-authenticator/

メリット：無料のプラグインと無料のモバイルアプリ

短所：インターネット接続されたスマートフォンを使用し、モバイルアプリケーションをインストールする必要がある、各ユーザーごとにプラグインを手動で設定する必要がある、サポートが不足している

Google Authenticator for your WordPress blog must be configured per user base on a user profile page

Google Authenticatorプラグインの使い方

WordPressウェブサイトでGoogle認証システムを使用する準備ができたら、プラグインをインストールして有効化するだけです。プラグインの設定は、「ユーザー」→「プロフィール」の順に進むと表示されます。そこに、秘密鍵またはQRコードを設定するオプションがあります。鍵またはコードを設定したら、スマートフォンに無料のGoogle認証アプリをダウンロードし、鍵またはQRコードを入力する必要があります。コードまたは鍵を入力すると、アプリをウェブサイトにリンクできるようになります。

これらの設定が完了したら、ログインするたびにアプリを開き、指定された時間内に指定されたキーワードを入力する必要があります。こうすることで、ウェブサイトを最大限に保護することができます。

Duo二要素認証プラグイン

Duo 二段階認証は、ぜひチェックしていただきたい優れたプラグインです。複数の認証方法を用いることで、WordPress にさらなる認証レイヤーを追加できます。スマートフォンを使ってウェブサイトのセキュリティを強化でき、この強力なツールを使えば、あなただけがウェブサイトにアクセスできるようになります。必要なのは、Duo プラグインをインストールし、Duo ウェブサイト（ https://duo.com ）で無料アカウントに登録するだけです。オプションの Duo モバイルアプリは、Apple iOS、Google Android、BlackBerry、Palm、Windows Phone 7、Windows Mobile 8.1 および 10、J2ME/Symbian で動作します。

Duoサービスは、WordPressで二段階認証を行うための複数の方法を提供しています。

Duoのモバイルアプリを使ったワンタップ認証（最も速く、最も簡単な認証方法）

Duoのモバイルアプリで生成されるワンタイムパスコード（電波圏外でも動作します）

SMS対応の携帯電話であれば、どの端末にもワンタイムパスコードが送信されます（電波圏外でも動作します）。

携帯電話または固定電話のいずれかに折り返し電話いたします！

OATH準拠のハードウェアトークンによって生成されるワンタイムパスコード（昔ながらの方法がお好みの場合）

プラグインリンク： https://wordpress.org/plugins/duo-wordpress/

メリット：特定の役割に対して二段階認証を有効にできます。確認コードをSMSで送信するオプション機能があります。プラグインとモバイルアプリは無料です。

デメリット：ウェブサイトで10人以上のユーザーがプラグインを使用する場合は、有料ソリューションとなります。

Duo Two-Factor Authentication plugin settings

Duo二要素認証プラグインの使い方

まず、プラグインをインストールして有効化する必要があります。また、モバイルアプリもダウンロードする必要があります。ダウンロードはこちらから： https://duo.com/product/trusted-users/two-factor-authentication/duo-mobile 。次に、Duo Securityのウェブサイトでアカウントを作成し、セキュリティキーを受け取る必要があります。ウェブサイトにログインすると、ログイン用の別のページにリダイレクトされます。そこで、適切な認証方法を選択するように求められます。認証には複数のオプションが用意されており、モバイルアプリ、アプリで生成されたワンタイムパスコード、任意の番号への電話コールバック、SMSによるワンタイムパスコード、OATH準拠のハードウェアトークンで生成されたワンタイムパスコードを使用できます。これは、ウェブサイトをあらゆる潜在的な脅威から保護する最良の方法です。そして、希望する認証方法を選択した後、ウェブサイトにアクセスできるようになります。

miniOrange – 二段階認証プラグイン

miniOrangeの二段階認証プラグインを使えば、手間をかけずにウェブサイトのセキュリティを設定できます。設定は簡単で、Google認証システムによる認証にも対応しています。

プラグインリンク： https://wordpress.org/plugins/miniorange-2-factor-authentication/

長所：無料プラグイン、複数の認証方法、3つのモバイルアプリ：Authy、Google Authenticator、miniOrange Authenticator

短所：miniOrangeのウェブサイトでの登録が必要、無料版はユーザー1人までしか利用できない、無料版のサポートがない

Google Authenticator – Two Factor Authentication by miniOrange

プラグインの使い方

設定は簡単で、SMS、プッシュ通知、デバイスID、またはQRコードでユーザー認証を行います。まずプラグインをインストールして有効化する必要があります。その後、サインアップしてメールアドレスを確認する必要があります。認証方法は複数用意されています。QRコード認証を使用する場合は、Mini Orange AuthenticatorアプリからQRコードをスキャンしてください。これにより、ウェブサイトを簡単に安全に保護するための最適なソリューションが提供されます。

二段階認証 – Clockwork SMSプラグイン

ウェブサイトのセキュリティを強化するためのもう一つの使いやすいツールは、Clockwork SMSです。スマートフォンをお持ちでない場合でも、ウェブサイトを可能な限り安全に保護したいなら、このプラグインを利用できます。SMSを使った二段階認証に対応しているため、どの携帯電話でも利用可能です。

プラグインリンク： https://wordpress.org/plugins/clockwork-two-factor-authentication/

利点：スマートフォンが不要で、SMSメッセージを使って認証コードを送信するため、インターネット接続なしでも動作します。

短所：有料ソリューション、プラグインが古い（2年以上更新されていない）

プラグインの使い方

使い方はシンプルで簡単です。プラグインをインストールして有効化するだけです。ただし、有効化後、ClockworkサイトからAPIキーを取得する必要があります。設定が完了したら、WordPressのセキュリティを強化するために使用できます。このプラグインを使用するのにスマートフォンは必ずしも必要ありません。ただし、ログインするたびにスマートフォンにメッセージが届くようにするには、料金が発生します。スマートフォンをお持ちでない方や、このプラグインを利用したい方にとって最適な選択肢となるでしょう。ただし、費用がかかります。

Rublonプラグイン

Rublonは、最高の二段階認証WordPressプラグインの一つであり、最適なソリューションを提供します。専用のダッシュボードがあり、そこで設定を行うことができます。ただし、アカウントごとに保護できるユーザーは1人だけであり、ダッシュボードには複数のオプションが用意されています。

プラグインリンク： https://wordpress.org/plugins/rublon/

長所：無料のプラグインと無料のモバイルアプリ、ユーザーフレンドリーなインターフェース

短所：ウェブサイト上で1ユーザーのみ無料、SMS認証に対応していない

Rublon two-factor authentication plugin for WordPress

プラグインの使い方

このプラグインの設定も簡単です。まず、プラグインの公式サイトで登録し、アプリをダウンロードする必要があります。このアプリはバーコードのスキャンにも対応しています。その後、ウェブサイトにプラグインをインストールして有効化します。認証に使用するデバイスを設定するオプションが表示されますので、デバイスを設定したら、正しく使用できるようになります。これで、ウェブサイトにログインする際にスマートフォンを使ってスキャンし、ログインできるようになります。

ただし、複数のユーザーに対して二段階認証を設定したい場合は、このプラグインのプレミアム版にアップグレードする必要があります。

Authyプラグイン

Authyは、ウェブサイトを二段階認証で保護するために使用できる優れたプラグインです。設定も簡単で、運用が格段に楽になります。WordPressウェブサイトでAuthyを設定する手順を見ていきましょう。

プラグインリンク： https://wordpress.org/plugins/authy-two-factor-authentication/

長所：インストールが簡単、ユーザーフレンドリーなインターフェース、オプションでSMS認証が可能

デメリット：有料ソリューションであり、無料版では月間100件の認証しか利用できません。無料版のサポートは不十分で、サービスを有効化するには、各ユーザーがAuthyのウェブサイトで携帯電話番号を提出する必要があります。

Authy two-factor authentication plugin has a user friendly interface

Authyプラグインの使い方

Authyを二段階認証ツールとして選択した場合は、WordPressサイトにプラグインをインストールして有効化する必要があります。その後、スマートフォンにAuthyアプリをインストールし、Authyアカウントに登録する必要があります。登録後、アカウントからAPIキーを入力し、設定を確認して認証ロールを適用してください。

その後、認証を有効にしたいユーザーの電話番号を追加する必要があります。ウェブサイトにログインしようとすると、特定のコードまたはトークンが携帯電話に送信されます。そのトークンを入力すれば、正常にログインできます。

OpenIDプラグイン

OpenIDを利用する場合、ウェブサイトのセキュリティを強化するためのより簡単な方法であることを知っておくべきです。OpenIDを使ってウェブサイトにログインできるようになります。つまり、Google+、Yahoo、Flickr、WordPress.comなどのサービスを利用している場合、このプラグインを利用できます。

プラグインリンク： https://wordpress.org/plugins/openid/

メリット：モバイルアプリは不要

デメリット：Google+、Yahoo、Flickr、WordPress.comなどのOpenIDプロバイダーのアカウントが必要です。

The OpenID plugin allows users to authenticate to websites without using passwords

プラグインの使い方

OpenID の利用は簡単で、特に問題はありません。プラグインをインストールして有効化するだけで済みます。その後、「ユーザー」に移動します。「OpenID」というオプションが表示されるので、その設定を確認してください。このセクションで OpenID アカウントを追加することで、ソーシャルアカウントをウェブサイトで使用できるようになります。これにより、より簡単かつ安全に利用できるようになります。

しかし、このプラグインを使用する際には問題があります。WordPressサイトでIDを設定していても、ユーザー名とパスワードでサイトにログインできてしまうのです。そのため、高度なセキュリティを求めている場合は、このプラグインは適していません。

ところで、クレフに一体何があったの？

Clefは、WordPressの二段階認証プラグインとして間違いなく最良の選択肢の一つでした。しかし、現在Clefプラグインを使用しているすべてのユーザーにとって残念なお知らせがあります。ご存知ない方もいらっしゃるかもしれませんが、Clefプラグインは2017年6月6日に動作しなくなります。さらに、プラグインはダウンロードできなくなり、アップデートもリリースされません。つまり、 Clefは永久に利用できなくなります。Clefはより良い選択肢だったかもしれませんが、WordPressには他にも利用できる二段階認証プラグインがいくつかあります。Clefはサービス終了となるため、他の選択肢を検討してみてください。

Clefの最良の代替品は何ですか？

最適な二段階認証プラグインをお探しなら、上記で紹介したGoogle AuthenticatorやAuthyをぜひチェックしてみてください。Clefプラグインをご利用中であれば、これらは最適な選択肢です。これらのプラグインをまだ使ったことがない場合は、Two-factor、Google Authenticator、Authyをお試しください。RublonやOpenIDも利用できますが、いくつか欠点があります。無料版を試してみて、ご自身に合うかどうか確認することをお勧めします。ウェブサイトのセキュリティを確保し、安全かつ最適なログイン方法を提供できるプラグインを選択してください。

二段階認証プラグインを使用する際のデメリットは何ですか？

レビューしたプラグインの中には安心感を高めてくれるものもありますが、WordPressで二段階認証を使用する前に、以下のすべての点を確認してください。

主な欠点は、 Google Authenticatorのような無料のプラグインを使用する場合、スマートフォンにインストールする必要のあるモバイルアプリケーションとインターネット接続が必要になることです。

モバイルアプリやインターネット接続されたスマートフォンを使わずに最も簡単な方法は、携帯電話に送信されるSMSメッセージの料金を支払うことです。

ウェブサイトのすべてのユーザーは、認証コードを受け取るために携帯電話番号を提供する必要があります。

携帯電話を紛失した場合、ログインすることはできません。

上記プラグインはいずれもセキュリティプラグインではなく、WordPressでデフォルトで有効になっているXML-RPCインターフェースを介したユーザーパスワードのブルートフォース攻撃からウェブサイトを保護するものではありません。そのため、 WP Cerberプラグインのようなブルートフォース攻撃対策を別途講じる必要があります。