- プラグイン「Wordfence Security – Firewall & Malware Scan」で2段階認証(2FA)を設定・解除する方法は?
- Google認証システムを使うには、どうすればいい?
- 自分だけ2段階認証をしない(スキップする)方法は?
という人のために、WordfenceとGoogle認証システムで2段階認証(2FA)を設定・解除する方法を、画像付きで解説します。
- 1.前提条件・事前準備・参考記事
- 2.「Wordfence」と「Google認証システム」で2段階認証の設定をする手順
- 3.「Wordfence」と「Google認証システム」で2段階認証の設定をする方法
- 3-1.PC(Wordfence)で、スマートフォンに読み込ませるQRコード画面を表示する
- 3-2.スマートフォンで、Googleのアカウントを取得してログインする
- 3-3.スマートフォンで、アプリ「Google認証システム」をインストールする
- 3-4.PC(Wordfence)で、「Google認証システム」で生成したワンタイムパスワードを入力する
- 3-5.2段階認証の解除方法、リカバリーコードのダウンロード方法、IPアドレスの確認
- 3-6.Login Security Settings(ログインセキュリティ設定)の設定をする
- 3-7.Login Security Settingsの全項目の解説
- 3-7-1.User Summary
- 3-7-2.Enable 2FA for these roles(これらのユーザーに2FAを適用)
- 3-7-3.Require 2FA for all administrators(全ての管理者に2FAが必要)
- 3-7-4.Allow remembering device for 30 days(30日間デバイスの記憶を許可する)
- 3-7-5.Require 2FA for XML-RPC call authentication(XML-RPC呼び出し認証に2FAが必要)
- 3-7-6.Disable XML-RPC authentication(XML-RPC認証を無効にする)
- 3-7-7.Allowlisted IP addresses that bypass 2FA(2FAを回避する許可リストに記載されたIPアドレス)
- 3-7-8.Enable reCAPTCHA on the login and user registration pages(ログインページとユーザー登録ページでreCAPTCHAを有効にする)
- 3-7-9.reCAPTCHA human/bot threshold score(reCAPTCHA人間/ボットのしきい値スコア)
- 3-7-10.Run reCAPTCHA in test mode(テストモードでreCAPTCHAを実行する)
- 3-7-11.Delete Login Security tables and data on deactivation(非アクティブ化時にログインセキュリティテーブルとデータを削除する)
- 3-8.ログインが二要素認証になったか確認する
- 4.ログイン(2段階認証)エラーになった場合
- 5.まとめ
1.前提条件・事前準備・参考記事
Wordfenceのインストール、アンインストール、最適な設定方法、使い方は、以下の記事を参考にしてください。
WordPressのセキュリティに関しては、以下を参考にしてください。
- WordPress(サイト)運営者が知るべきサイバー攻撃の種類と対策
- WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
- Googleアカウントの作成方法(データSIMだけでもOK)
- Wordfenceの(アン)インストール方法と最適な設定方法
- Wordfence Securityの全ての設定方法を3万文字で解説
- WordfenceとGoogle認証システムで2段階認証(2FA)を設定する方法
- Wordfenceの使い方、画面の見方を6万文字で解説
- XO Securityの設定方法
- SiteGuard WP Pluginの設定方法
- BBQ(Block Bad Queries:ブロックバッドクエリ)の設定方法
- Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】
- ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】
- UpdraftPlus(アップドラフトプラス)の設定方法と使い方
2.「Wordfence」と「Google認証システム」で2段階認証の設定をする手順
「Wordfence」と「Google認証システム」で2段階認証の設定をする手順は、以下になります。
用意するのは、PCとスマートフォンの2つです。
- PC(Wordfence)操作:スマートフォンに読みませるQRコードのページを出す
- PC(Wordfence)操作:リカバリー用の使い捨てコードをダウンロードする
- スマートフォン操作:Googleアカウントを取得・ログインする
- スマートフォン操作:アプリ「Google認証システム」をインストールする
- スマートフォン操作:アプリ「Google認証システム」を起動し、QRコード読み取り画面にする
- スマートフォン操作:PCのQRコードを読む。→6桁のワンタイムパスワードが出る
- PC(Wordfence)操作:スマートフォンの6桁のワンタイムパスワードを入力。→「ACTIVATE」をクリックする
- 「Login Security Settings」で2段階認証の設定をする
これで2段階認証の設定ができます。以降、順を追って説明します。
3.「Wordfence」と「Google認証システム」で2段階認証の設定をする方法
3-1.PC(Wordfence)で、スマートフォンに読み込ませるQRコード画面を表示する
まず、PC(Wordfence)側で操作します。
WordPressにログインし、管理メニュー「Wordfence」>5個目「Login Security」をクリックします。すると、「Two-Factor Authentication」画面になります。
管理メニュー「Wordfence」>6個目「All Options」>5個目「Tool Options」>3個目「Login Security Options」の右側「Login Security Options」をクリックしても、「Two-Factor Authentication」画面になります。
- 「Two-Factor Authentication」を選択します。
- 「2.Enter Code from Authenticator App(認証システムアプリからコードを入力してください)」の「DOWNLORD」をクリックし、リカバリーコードのファイル「ドメイン名_WordPressユーザー名_recoverycodes.txt」を保存します。
- 先にスマートフォン操作を説明:「1. Scan Code or Enter Key」にあるQRコードを、スマートフォンから読み込ませます。
- 先にスマートフォン操作を説明:QRコードの下にある「Enter Key」は、QRコードではなく、手入力する場合に使います。
- 先にスマートフォン操作を説明:スマートフォンにインストールした「Google認証システム」の6桁のワンタイムパスワードを、「2. Enter Code from Authenticator App」のコード入力欄に入力します。
次に、スマートフォン操作に移動します。
この「Two-Factor Authentication」画面は開いておきます。
「2.Enter Code from Authenticator App」でダウンロードしたリカバリーコードファイルは、スマートフォンを無くしたなど、認証デバイスにアクセスできなくなった時に使います。
- コードの例:0123 a234 b345 d456
5つのコードのいずれかを使用してログインします。
コードは、16文字の長さにスペースを加えたものです。
それぞれ1回だけ使用できます。
3-2.スマートフォンで、Googleのアカウントを取得してログインする
スマートフォン側の操作です。
Googleが提供する「Google reCAPTCHA」を利用するには、Googleのアカウントが必要です。
Googleアカウントを取得したら、Googleにログインします。
Googleアカウントの作成方法は、以下の記事を参考にしてください。
Googleアカウントの作成方法(データSIMだけでもOK)
3-3.スマートフォンで、アプリ「Google認証システム」をインストールする
スマートフォン側の操作です。
スマートフォンのアプリ「Google認証システム」をインストールします。
- 「Google Playストア」から「Google認証システム」と検索し、インストールします。
- 「開く」をタップし、アプリ「Google認証システム」を起動します。
- 「Google認証システムでセキュリティをさらに強化」画面で、「使ってみる」または「開始」をタップします。(その後必要なら「スキップ」をタップします。)
- 「1つ目のアカウントのセットアップ」画面で、「QRコードをスキャン」をタップします。
- 「1つ目のアカウントのセットアップ」画面で、「セットアップキーを入力」をタップすると、Wordfenceの「Enter Key」を入力できます。(面倒なのでやりません。)
- 「写真の撮影とビデオの録画を認証システムに許可しますか?」と出るので「許可」をタップします。
- QRコードをスキャンする画面になり「赤線内にQRコードを配置してください」と表示されます。
PC(Wordfence)の「Two-Factor Authentication」画面「1. Scan Code or Enter Key」にあるQRコードを、スマートフォンかみ込ませます。(画像はセキュリティにより撮影不可のため、ありません。) - 「アカウントを追加しました」の表示と6桁のワンタイムパスワードが生成されます。
このワンタイムパスワードを、Wordfenceの「2. Enter Code from Authenticator App」のコード入力欄に入力します。
ワンタイムパスワードは、30秒ごとに変更されます。
3-4.PC(Wordfence)で、「Google認証システム」で生成したワンタイムパスワードを入力する
PC(Wordfence)PC側の操作です。
「Two-Factor Authentication」画面を開きます。
- 「2. Enter Code from Authenticator App」のコード入力欄に、スマートフォンにインストールした「Google認証システム」の6桁のワンタイムパスワードを入力します。ワンタイムパスワードは、30秒ごとに変更されます。
- 全て入力・操作したら、右下「ACTIVATE」をクリックします。
以上で、WordfenceとGoogle 認証システムが紐付けされ、2段階認証ができるようになりました。
3-5.2段階認証の解除方法、リカバリーコードのダウンロード方法、IPアドレスの確認
管理メニュー「Wordfence」>5個目「Login Security」>「Two-Factor Authentication」画面を開きます。
- 「Wordfence 2FA Active」の「DEACTIVATE」をクリックすると、「Deactivate 2FA」画面になり、2段階認証を解除して良いか確認されます。
「DEACTIVATE」をクリックすると、2段階認証を解除でき、QRコード読み取り画面「1.Scan Code or Enter Key」に戻ります。 - 「Recovery Codes」の「GENERATE NEW CODES」をクリックすると、リカバリーコードをダウンロードします。リカバリーコードは保存しておきます。
- 最下部に「Detected IP: デバイスのIPアドレス」があります。デバイスのIPアドレスが表示されているので、必要なら使います。
3-6.Login Security Settings(ログインセキュリティ設定)の設定をする
管理メニュー「Wordfence」>5個目「Login Security」>上部タブ「Settings」をクリックし、「Login Security Settings」画面を開きます。
- Allow remembering device for 30 days(ログインしたデバイスの2FAを30日間スキップ):共有パソコンでなければ、利便性が向上するのでチェックを入れます。
- Require 2FA for XML-RPC call authentication(XML-RPC呼び出し認証に2FAが必要):「SKIPPED」を選択します。WordPressを外部デバイスで操作するサービス、プラグインを使う場合を想定します。WordPress外部デバイスで操作するサービス、プラグインを使わないなら、「REQUIRED」のままでも良いです。
- Allowlisted IP addresses that bypass 2FA(2FAを回避する許可リストに記載されたIPアドレス)
(旧表示:Whitelisted IP addresses that bypass 2FA(2FAを回避するホワイトリストIPアドレス)):
2段階認証をしない(スキップする)デバイスのIPアドレスを入力します。 - 全て入力・操作したら、「SAVE」をクリックします。
デバイスのIPアドレスは、「Two-Factor Authentication」画面の最下部に、「Detected IP: デバイスのIPアドレス」があります。
または、以下のサイトでもデバイスのIPアドレスを確認できます。
あなたが現在インターネットに接続しているグローバルIPアドレス確認
3-7.Login Security Settingsの全項目の解説
次に、Login Security Settingsの全項目を解説します。
必要に応じて使用してください。
3-7-1.User Summary
Total Users(総ユーザー数):サイトのユーザー数です。
2FA Active(2FA:2段階認証が有効中の数):2段階認証が有効中のユーザーの数です。
3-7-2.Enable 2FA for these roles(これらのユーザーに2FAを適用)
以下の5つの項目を有効化できます。
有効化すると、そのカテゴリーのユーザーは2段階認証が強制されます。
- Administrator(管理者):選択不可。全ての管理可能
- Editor(編集者):Contributorの投稿承認、記事・コメント編集可能
- Author(投稿者):記事投稿可能
- Contributor(寄稿者):記事公開は、AdministratorかEditorの承認必要
- Subscriber(購読者):投稿の閲覧のみ
3-7-3.Require 2FA for all administrators(全ての管理者に2FAが必要)
チェックを入れると、全ての管理者に2段階認証が必要になります。
管理者が複数いる場合に使います。
3-7-3-1.Grace period to require 2FA(2FAを要求する猶予期間)
チェックを入れると、右側の日付になるまで、2段階認証を要求されなくなります。
3-7-4.Allow remembering device for 30 days(30日間デバイスの記憶を許可する)
チェックを入れると、認証コードの入力が「毎回」から「30日に1回」になります。
3-7-5.Require 2FA for XML-RPC call authentication(XML-RPC呼び出し認証に2FAが必要)
チェックを入れると、XML-RPCを使う場合に、2段階認証が必要になります。
「SKIPPED」を選択すると、XML-RPCを使う場合でも2段階認証をしません。
「REQUIRED」を選択すると、XML-RPCを使う場合、2段階認証が必要になります。
XML-RPCとは、XML形式のデータを、RPC(遠隔手続き型呼び出し:HTTPでやり取りするときに使う)プロトコル(通信時の約束事)のこと。
WordPressの管理画面からではなく、プログラムなどで、WordPressの外側からWordPressをコントロールするための機能です。
例えば、Jetpackやスマートフォンで投稿をする際に必要です。
また、ブルートフォースアタック(総当たり攻撃)によるアカウント情報割り出しにも使われます。
3-7-6.Disable XML-RPC authentication(XML-RPC認証を無効にする)
チェックを入れると、XML-RPCが使えなくなります。
各種プラグインがXML-RPCを使う場合もあるので、通常はチェックを外します。
セキュリティ対策は、「ブルートフォースアタック(総当たり攻撃)対策:ログイン試行回数制限」でします。
3-7-7.Allowlisted IP addresses that bypass 2FA(2FAを回避する許可リストに記載されたIPアドレス)
ホワイトリストに登録されたIPアドレスは、2段階認証を回避(スキップ)し、通常のログインだけになります。
複数入力する場合、入力するIPアドレスは、1行につき1つです。
プラグイン「Invisible reCaptcha for WordPress」とWordfenceの2段階認証を併用する場合、ログインできなくなる場合があります。
この項目にIPアドレスを登録しておけば、そのデバイスは2段階認証を求められなくなるため、結果としてログインエラーを回避できます。
そのデバイスを使うのが自分だけなら、この項目を使います。
共用PCなどの場合は、お勧めできません。
デバイスのIPアドレスは、「Two-Factor Authentication」画面の最下部に、「Detected IP: デバイスのIPアドレス」があります。
または、以下のサイトでもデバイスのIPアドレスを確認できます。
あなたが現在インターネットに接続しているグローバルIPアドレス確認
具体的なログインエラーの対処方法は、以下の記事を参考にしてください。
ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】
3-7-8.Enable reCAPTCHA on the login and user registration pages(ログインページとユーザー登録ページでreCAPTCHAを有効にする)
チェックを入れると、Google reCATCHA v3をWordfenceに導入できます。
Google reCATCHA(グーグル・リキャプチャ)とは、Googleが提供する不正アクアセス対策ツールのこと。
Google reCATCHA v3は、人間らしくない動きをするとbotとして判定され、不正ログイン等を自動で防ぎます。
ユーザーの操作を必要としないため、ユーザーフレンドリーです。
ただし、Wordfenceはログインページとユーザー登録ページだけでしか、Google reCATCHA v3が作動しません。
Google reCATCHAを使うなら、Wordfenceではなく、プラグイン「Invisible reCaptcha for WordPress」で設定するのがおすすめです。
「Invisible reCaptcha for WordPress」は、コメントや問い合わせ、プラグイン「Contact Form 7」にもGoogle reCATCHAを適用できます。
「Invisible reCaptcha for WordPress」の設定方法は、以下の記事を参考にしてください。
Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】
3-7-8-1.reCAPTCHA v3 Site Key
「reCAPTCHA v3 Site Key」の入力欄に、Google reCATCHAで取得した「サイトキー」を入力します。
3-7-8-2.reCAPTCHA v3 Secret
「reCAPTCHA v3 Secret」の入力欄に、Google reCATCHAで取得した「シークレットキー」を入力します。
3-7-9.reCAPTCHA human/bot threshold score(reCAPTCHA人間/ボットのしきい値スコア)
右のタブで、人間とbotを分けるしきい値(境界線)を選択します。
「1.0 (definitely a human)(間違いなく人間)」~初期値「0.5 probably a human(おそらく人間)」~「0.0 (definitely a bot)」から選択します。
ユーザーがブロックされる場合は、スコアを0.4や0.3に下げます。
逆に、botが頻繁に許可されている場合は、スコアを0.6や0.7に上げます。
通常、botは通過させないので、「reCAPTCHA Score History(reCAPTCHAスコア履歴)」は0を示しています。
3-7-10.Run reCAPTCHA in test mode(テストモードでreCAPTCHAを実行する)
チェックを入れると、テストモードでreCAPTCHAを実行します。
テストモードでは、reCAPTCHAはログインとユーザー登録を計測します。計測中はbotもブロックをしません。
計測値は記録され、「reCAPTCHA Score History(reCAPTCHAスコア履歴)」に表示されます。
この項目は、人間とbotのしきい値を選択するために使用します。
3-7-11.Delete Login Security tables and data on deactivation(非アクティブ化時にログインセキュリティテーブルとデータを削除する)
チェックを入れると、プラグインを無効化(停止)した時、全ての2段階認証に関するデータを削除します。
再度プラグインを有効化した時に、全てのユーザーは2段階認証を設定し直す必要があります。
逆にチェックを入れない場合、プラグインを無効化しても、2段階認証の設定は残ります。
3-8.ログインが二要素認証になったか確認する
一旦サイトをログアウトして、再度ログインしてみます。
通常のログイン画面からログインすると、以下のように「2FA Code(2段階認証コード)」の入力を求められます。
- スマートフォンの 「Google認証システム」アプリを開いて、表示されている6桁の認証コードを入力します。6桁の認証コードは、30秒ごとに変更されます。
- 毎回2段階認証コードを入力するのが面倒なので、「 Remember for 30 days(30日間記憶する)」を有効化します。
- 全て入力・操作したら、「Log in」をクリックします。
何事もなく2段階認証が求められる条件は、以下2つを満たしている時です。
- プラグイン「Invisible reCaptcha for WordPress」を有効化していない。
- 管理メニュー「Wordfence」>5個目「Login Security」>上部タブ「Settings」>「Login Security Settings」>「Whitelisted IP addresses that bypass 2FA」に自分の「IPアドレス」を入力していない。
「Whitelisted IP addresses that bypass 2FA」に自分の「IPアドレス」を入力した場合は、2段階認証画面がスキップされます。
4.ログイン(2段階認証)エラーになった場合
プラグイン「Invisible reCaptcha for WordPress」をインストール・設定していた場合、2段階認証ができないかもしれません。
その際は、サーバーからプラグインをリネームして、「Invisible reCaptcha for WordPress」を停止させればログインができるようになります。
具体的なログインエラーの対処方法は、以下の記事を参考にしてください。
ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】
5.まとめ
不正ログイン対策に、2段階認証は必須です。
ただ、Wordfenceの2段階認証とGoogle reCAPTCHAは、ログインエラーを起こします。
リネーム等の対処方法は覚えておきましょう。