二段階認証

規模の大小に関わらず、あらゆるサイトは攻撃・乗っ取りの対象です。

攻撃の手段は不正ログインとは限りませんが、不正ログインされた場合の被害は甚大です。それを防ぐのが「二段階認証」です。SNSやAmazon等のネットショップでお馴染みのことと思います。

WordPress標準では二段階認証の機能はありませんが、プラグイン（WordPressに機能を追加する小さなプログラム）で二段階認証が提供されています。弊社ではWP-2FAを推奨しています。

WP-2FAが有効なサイトにログインしようとすると以下の画面になります。

この画面になったら登録したメールを確認します。

「二段階認証コード」が届いていますので、コピーして入力します。

ここでコードを表示していますが、これは毎回変わるので問題ありません。

以後、明示的にログアウトした場合や異なるデバイスからログインしようとした場合等に認証コードを求められることがあります。つまり別人が別PCからログインしようとしても、メールで確認コードを取得できない限りは不正ログインできません。

• 「ログイン状態を保存」した自分のPCやスマホを盗用された場合は無力です。
• メールを盗聴された場合は無力です。

どのようなセキュリティにも抜け穴はあります。弱点もよく理解して使用しましょう。

二段階認証初期設定

場合によっては、二段階認証の初期設定をやる必要があります。

ダッシュボードの「ユーザー」「プロフィール」を開いて一番下に設定開始ボタンがあります。

「Change 2FA settings」をクリックします。

「One-time code via email（ワンタイムコードをメールで受け取る）」を選択します。

表示されているメールアドレスを確認して「準備完了」をクリックするとメールが送信されます。

メールのコードをコピーしてダッシュボードに戻ります。

認証コードを入力し「確認して保存」をクリックします。

バックアップコードの生成を勧められますが、ここでは「あとで生成します」で良いでしょう。

以上で初期設定は完了です。

以下の記事もご覧ください。

• 会社案内・店舗・イベント等のサイト構築にWordPressをお勧めする理由
• WordPressの使い方、初歩の初歩
• WordPressの使い方、初歩の初歩（スマホ版）
• WordPressの二段階認証、設定方法