WordfenceとGoogle認証システムで2段階認証(2FA)を設定する方法

この記事は約17分で読めます。
今回の疑問点
  • プラグイン「Wordfence Security – Firewall & Malware Scan」で2段階認証(2FA)を設定・解除する方法は?
  • Google認証システムを使うには、どうすればいい?
  • 自分だけ2段階認証をしない(スキップする)方法は?

という人のために、WordfenceとGoogle認証システムで2段階認証(2FA)を設定・解除する方法を、画像付きで解説します。

1.前提条件・事前準備・参考記事

Wordfenceのインストール、アンインストール、最適な設定方法、使い方は、以下の記事を参考にしてください。

WordPressのセキュリティに関しては、以下を参考にしてください。

2.「Wordfence」と「Google認証システム」で2段階認証の設定をする手順

「Wordfence」と「Google認証システム」で2段階認証の設定をする手順は、以下になります。
用意するのは、PCとスマートフォンの2つです。

  1. PC(Wordfence)操作:スマートフォンに読みませるQRコードのページを出す
  2. PC(Wordfence)操作:リカバリー用の使い捨てコードをダウンロードする
  3. スマートフォン操作:Googleアカウントを取得・ログインする
  4. スマートフォン操作:アプリ「Google認証システム」をインストールする
  5. スマートフォン操作:アプリ「Google認証システム」を起動し、QRコード読み取り画面にする
  6. スマートフォン操作:PCのQRコードを読む。→6桁のワンタイムパスワードが出る
  7. PC(Wordfence)操作:スマートフォンの6桁のワンタイムパスワードを入力。→「ACTIVATE」をクリックする
  8. 「Login Security Settings」で2段階認証の設定をする

これで2段階認証の設定ができます。以降、順を追って説明します。

3.「Wordfence」と「Google認証システム」で2段階認証の設定をする方法

3-1.PC(Wordfence)で、スマートフォンに読み込ませるQRコード画面を表示する

まず、PC(Wordfence)側で操作します。
WordPressにログインし、管理メニュー「Wordfence」>5個目「Login Security」をクリックします。すると、「Two-Factor Authentication」画面になります。
管理メニュー「Wordfence」>6個目「All Options」>5個目「Tool Options」>3個目「Login Security Options」の右側「Login Security Options」をクリックしても、「Two-Factor Authentication」画面になります。

  1. 「Two-Factor Authentication」を選択します。
  2. 「2.Enter Code from Authenticator App(認証システムアプリからコードを入力してください)」の「DOWNLORD」をクリックし、リカバリーコードのファイル「ドメイン名_WordPressユーザー名_recoverycodes.txt」を保存します。
  3. 先にスマートフォン操作を説明:「1. Scan Code or Enter Key」にあるQRコードを、スマートフォンから読み込ませます。
  4. 先にスマートフォン操作を説明:QRコードの下にある「Enter Key」は、QRコードではなく、手入力する場合に使います。
  5. 先にスマートフォン操作を説明:スマートフォンにインストールした「Google認証システム」の6桁のワンタイムパスワードを、「2. Enter Code from Authenticator App」のコード入力欄に入力します。

次に、スマートフォン操作に移動します。
この「Two-Factor Authentication」画面は開いておきます。

<注意>

「2.Enter Code from Authenticator App」でダウンロードしたリカバリーコードファイルは、スマートフォンを無くしたなど、認証デバイスにアクセスできなくなった時に使います。

  • コードの例:0123 a234 b345 d456

5つのコードのいずれかを使用してログインします。
コードは、16文字の長さにスペースを加えたものです。
それぞれ1回だけ使用できます。

3-2.スマートフォンで、Googleのアカウントを取得してログインする

スマートフォン側の操作です。
Googleが提供する「Google reCAPTCHA」を利用するには、Googleのアカウントが必要です。
Googleアカウントを取得したら、Googleにログインします。

Googleアカウントの作成方法は、以下の記事を参考にしてください。
Googleアカウントの作成方法(データSIMだけでもOK)

3-3.スマートフォンで、アプリ「Google認証システム」をインストールする

スマートフォン側の操作です。
スマートフォンのアプリ「Google認証システム」をインストールします。

  1. Google Playストア」から「Google認証システム」と検索し、インストールします。
  2. 「開く」をタップし、アプリ「Google認証システム」を起動します。
  3. 「Google認証システムでセキュリティをさらに強化」画面で、「使ってみる」または「開始」をタップします。(その後必要なら「スキップ」をタップします。)
  4. 「1つ目のアカウントのセットアップ」画面で、「QRコードをスキャン」をタップします。
  5. 「1つ目のアカウントのセットアップ」画面で、「セットアップキーを入力」をタップすると、Wordfenceの「Enter Key」を入力できます。(面倒なのでやりません。)
  6. 「写真の撮影とビデオの録画を認証システムに許可しますか?」と出るので「許可」をタップします。
  7. QRコードをスキャンする画面になり「赤線内にQRコードを配置してください」と表示されます。
    PC(Wordfence)の「Two-Factor Authentication」画面「1. Scan Code or Enter Key」にあるQRコードを、スマートフォンかみ込ませます。(画像はセキュリティにより撮影不可のため、ありません。)
  8. 「アカウントを追加しました」の表示と6桁のワンタイムパスワードが生成されます。
    このワンタイムパスワードを、Wordfenceの「2. Enter Code from Authenticator App」のコード入力欄に入力します。
    ワンタイムパスワードは、30秒ごとに変更されます。

3-4.PC(Wordfence)で、「Google認証システム」で生成したワンタイムパスワードを入力する

PC(Wordfence)PC側の操作です。
「Two-Factor Authentication」画面を開きます。

  1. 「2. Enter Code from Authenticator App」のコード入力欄に、スマートフォンにインストールした「Google認証システム」の6桁のワンタイムパスワードを入力します。ワンタイムパスワードは、30秒ごとに変更されます。
  2. 全て入力・操作したら、右下「ACTIVATE」をクリックします。

以上で、WordfenceとGoogle 認証システムが紐付けされ、2段階認証ができるようになりました。

3-5.2段階認証の解除方法、リカバリーコードのダウンロード方法、IPアドレスの確認

管理メニュー「Wordfence」>5個目「Login Security」>「Two-Factor Authentication」画面を開きます。

  1. 「Wordfence 2FA Active」の「DEACTIVATE」をクリックすると、「Deactivate 2FA」画面になり、2段階認証を解除して良いか確認されます。
    「DEACTIVATE」をクリックすると、2段階認証を解除でき、QRコード読み取り画面「1.Scan Code or Enter Key」に戻ります。
  2. 「Recovery Codes」の「GENERATE NEW CODES」をクリックすると、リカバリーコードをダウンロードします。リカバリーコードは保存しておきます。
  3. 最下部に「Detected IP: デバイスのIPアドレス」があります。デバイスのIPアドレスが表示されているので、必要なら使います。

3-6.Login Security Settings(ログインセキュリティ設定)の設定をする

管理メニュー「Wordfence」>5個目「Login Security」>上部タブ「Settings」をクリックし、「Login Security Settings」画面を開きます。

  1. Allow remembering device for 30 days(ログインしたデバイスの2FAを30日間スキップ):共有パソコンでなければ、利便性が向上するのでチェックを入れます。
  2. Require 2FA for XML-RPC call authentication(XML-RPC呼び出し認証に2FAが必要):「SKIPPED」を選択します。WordPressを外部デバイスで操作するサービス、プラグインを使う場合を想定します。WordPress外部デバイスで操作するサービス、プラグインを使わないなら、「REQUIRED」のままでも良いです。
  3. Allowlisted IP addresses that bypass 2FA(2FAを回避する許可リストに記載されたIPアドレス)
    (旧表示:Whitelisted IP addresses that bypass 2FA(2FAを回避するホワイトリストIPアドレス)):
    2段階認証をしない(スキップする)デバイスのIPアドレスを入力します。
  4. 全て入力・操作したら、「SAVE」をクリックします。
<注意>

デバイスのIPアドレスは、「Two-Factor Authentication」画面の最下部に、「Detected IP: デバイスのIPアドレス」があります。
または、以下のサイトでもデバイスのIPアドレスを確認できます。
あなたが現在インターネットに接続しているグローバルIPアドレス確認

3-7.Login Security Settingsの全項目の解説

次に、Login Security Settingsの全項目を解説します。
必要に応じて使用してください。

3-7-1.User Summary

Total Users(総ユーザー数):サイトのユーザー数です。
2FA Active(2FA:2段階認証が有効中の数):2段階認証が有効中のユーザーの数です。

3-7-2.Enable 2FA for these roles(これらのユーザーに2FAを適用)

以下の5つの項目を有効化できます。
有効化すると、そのカテゴリーのユーザーは2段階認証が強制されます。

  • Administrator(管理者):選択不可。全ての管理可能
  • Editor(編集者):Contributorの投稿承認、記事・コメント編集可能
  • Author(投稿者):記事投稿可能
  • Contributor(寄稿者):記事公開は、AdministratorかEditorの承認必要
  • Subscriber(購読者):投稿の閲覧のみ

3-7-3.Require 2FA for all administrators(全ての管理者に2FAが必要)

チェックを入れると、全ての管理者に2段階認証が必要になります。
管理者が複数いる場合に使います。

3-7-3-1.Grace period to require 2FA(2FAを要求する猶予期間)

チェックを入れると、右側の日付になるまで、2段階認証を要求されなくなります。

3-7-4.Allow remembering device for 30 days(30日間デバイスの記憶を許可する)

チェックを入れると、認証コードの入力が「毎回」から「30日に1回」になります。

3-7-5.Require 2FA for XML-RPC call authentication(XML-RPC呼び出し認証に2FAが必要)

チェックを入れると、XML-RPCを使う場合に、2段階認証が必要になります。
「SKIPPED」を選択すると、XML-RPCを使う場合でも2段階認証をしません。
「REQUIRED」を選択すると、XML-RPCを使う場合、2段階認証が必要になります。

<XML-RPCとは?>用語解説

XML-RPCとは、XML形式のデータを、RPC(遠隔手続き型呼び出し:HTTPでやり取りするときに使う)プロトコル(通信時の約束事)のこと。
WordPressの管理画面からではなく、プログラムなどで、WordPressの外側からWordPressをコントロールするための機能です。
例えば、Jetpackやスマートフォンで投稿をする際に必要です。
また、ブルートフォースアタック(総当たり攻撃)によるアカウント情報割り出しにも使われます。

3-7-6.Disable XML-RPC authentication(XML-RPC認証を無効にする)

チェックを入れると、XML-RPCが使えなくなります。
各種プラグインがXML-RPCを使う場合もあるので、通常はチェックを外します。
セキュリティ対策は、「ブルートフォースアタック(総当たり攻撃)対策:ログイン試行回数制限」でします。

3-7-7.Allowlisted IP addresses that bypass 2FA(2FAを回避する許可リストに記載されたIPアドレス)

ホワイトリストに登録されたIPアドレスは、2段階認証を回避(スキップ)し、通常のログインだけになります。
複数入力する場合、入力するIPアドレスは、1行につき1つです。

プラグイン「Invisible reCaptcha for WordPress」とWordfenceの2段階認証を併用する場合、ログインできなくなる場合があります。
この項目にIPアドレスを登録しておけば、そのデバイスは2段階認証を求められなくなるため、結果としてログインエラーを回避できます。
そのデバイスを使うのが自分だけなら、この項目を使います。
共用PCなどの場合は、お勧めできません。

デバイスのIPアドレスは、「Two-Factor Authentication」画面の最下部に、「Detected IP: デバイスのIPアドレス」があります。
または、以下のサイトでもデバイスのIPアドレスを確認できます。
あなたが現在インターネットに接続しているグローバルIPアドレス確認

具体的なログインエラーの対処方法は、以下の記事を参考にしてください。
ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】

3-7-8.Enable reCAPTCHA on the login and user registration pages(ログインページとユーザー登録ページでreCAPTCHAを有効にする)

チェックを入れると、Google reCATCHA v3をWordfenceに導入できます。

Google reCATCHA(グーグル・リキャプチャ)とは、Googleが提供する不正アクアセス対策ツールのこと。
Google reCATCHA v3は、人間らしくない動きをするとbotとして判定され、不正ログイン等を自動で防ぎます。
ユーザーの操作を必要としないため、ユーザーフレンドリーです。
ただし、Wordfenceはログインページとユーザー登録ページだけでしか、Google reCATCHA v3が作動しません。

Google reCATCHAを使うなら、Wordfenceではなく、プラグイン「Invisible reCaptcha for WordPress」で設定するのがおすすめです。
「Invisible reCaptcha for WordPress」は、コメントや問い合わせ、プラグイン「Contact Form 7」にもGoogle reCATCHAを適用できます。

「Invisible reCaptcha for WordPress」の設定方法は、以下の記事を参考にしてください。
Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】

3-7-8-1.reCAPTCHA v3 Site Key

「reCAPTCHA v3 Site Key」の入力欄に、Google reCATCHAで取得した「サイトキー」を入力します。

3-7-8-2.reCAPTCHA v3 Secret

「reCAPTCHA v3 Secret」の入力欄に、Google reCATCHAで取得した「シークレットキー」を入力します。

3-7-9.reCAPTCHA human/bot threshold score(reCAPTCHA人間/ボットのしきい値スコア)

右のタブで、人間とbotを分けるしきい値(境界線)を選択します。
「1.0 (definitely a human)(間違いなく人間)」~初期値「0.5 probably a human(おそらく人間)」~「0.0 (definitely a bot)」から選択します。

ユーザーがブロックされる場合は、スコアを0.4や0.3に下げます。
逆に、botが頻繁に許可されている場合は、スコアを0.6や0.7に上げます。

通常、botは通過させないので、「reCAPTCHA Score History(reCAPTCHAスコア履歴)」は0を示しています。

3-7-10.Run reCAPTCHA in test mode(テストモードでreCAPTCHAを実行する)

チェックを入れると、テストモードでreCAPTCHAを実行します。
テストモードでは、reCAPTCHAはログインとユーザー登録を計測します。計測中はbotもブロックをしません。
計測値は記録され、「reCAPTCHA Score History(reCAPTCHAスコア履歴)」に表示されます。
この項目は、人間とbotのしきい値を選択するために使用します。

3-7-11.Delete Login Security tables and data on deactivation(非アクティブ化時にログインセキュリティテーブルとデータを削除する)

チェックを入れると、プラグインを無効化(停止)した時、全ての2段階認証に関するデータを削除します。
再度プラグインを有効化した時に、全てのユーザーは2段階認証を設定し直す必要があります。
逆にチェックを入れない場合、プラグインを無効化しても、2段階認証の設定は残ります。

3-8.ログインが二要素認証になったか確認する

一旦サイトをログアウトして、再度ログインしてみます。
通常のログイン画面からログインすると、以下のように「2FA Code(2段階認証コード)」の入力を求められます。

  1. スマートフォンの 「Google認証システム」アプリを開いて、表示されている6桁の認証コードを入力します。6桁の認証コードは、30秒ごとに変更されます。
  2. 毎回2段階認証コードを入力するのが面倒なので、「 Remember for 30 days(30日間記憶する)」を有効化します。
  3. 全て入力・操作したら、「Log in」をクリックします。
<注意>

何事もなく2段階認証が求められる条件は、以下2つを満たしている時です。

  1. プラグイン「Invisible reCaptcha for WordPress」を有効化していない。
  2. 管理メニュー「Wordfence」>5個目「Login Security」>上部タブ「Settings」>「Login Security Settings」>「Whitelisted IP addresses that bypass 2FA」に自分の「IPアドレス」を入力していない。

「Whitelisted IP addresses that bypass 2FA」に自分の「IPアドレス」を入力した場合は、2段階認証画面がスキップされます。

4.ログイン(2段階認証)エラーになった場合

プラグイン「Invisible reCaptcha for WordPress」をインストール・設定していた場合、2段階認証ができないかもしれません。
その際は、サーバーからプラグインをリネームして、「Invisible reCaptcha for WordPress」を停止させればログインができるようになります。

具体的なログインエラーの対処方法は、以下の記事を参考にしてください。
ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】

5.まとめ

不正ログイン対策に、2段階認証は必須です。
ただ、Wordfenceの2段階認証とGoogle reCAPTCHAは、ログインエラーを起こします。
リネーム等の対処方法は覚えておきましょう。

タイトルとURLをコピーしました