WordPressへの2段階認証は思いのほか簡単だったのでスグにやった方が良い

いや、かなり今さらかもしれないのですが・・・Google Authenticatorっていうプラグイン＆アプリを使ってWordPressへ2段階認証を掛けてみました。設定がややこしいんじゃないかと思って敬遠していたのですが、思いのほか設定も簡単でサクッと出来ました。

WordPressにGoogle Authenticatorに対応しているプラグインを導入

Google Authenticatorに対応しているプラグインは検索したら色々出てきたのですが、とりあえず巷の記事でよく見かける「Google Authenticator」というのを入れてみました。最終更新が2年前ってのが気になりますが・・・もしかしたら「Two-Factor Authentication」ってやつのが保守されてていいかも。

Google Authenticator

「Google Authenticator」の設定

Google Authenticatorをインストールして有効化したら、自分のプロフィールの設定画面に2段階認証の設定が出てきます。

設定は簡単。①でActiveにチェックを入れ、②で説明を書き（これはアプリにも表示されるので分かりやすい名前が良い）、③のQRボタンを押してQRコードを表示させるだけ。「Relaxed mode」っていうのは通常1分のトークン書き換えを4分にするという設定ですが、基本的にはチェック不要でしょう。

QRコードを表示させたらそのまま置いておいて、次はスマホ側に認証コードを発行させるアプリを入れる。

スマホに「Google Authenticator」アプリを入れる

名前が一緒だからあれですが、WordPressのプラグインとスマホに入れるアプリは全くの別物。スマホのはGoogleが作ってますが、WordPressのは第3者が作ってます。

アプリはiPhone/Android用が出てて、アプリ検索で「Google Authenticator」で検索したら出てきます。提供元が「Google Inc.」のやつですな。

そのアプリを入れたら起動して画面右上の＋ボタンを押して「バーコードをスキャン」を選択し、先ほどWordPressの管理画面で出したQRコードをスキャンすると認証システムに登録されて認証用トークンが出てきます。これまじで簡単なフロー・・・素晴らしいですね。

スキャンした後は忘れずにWordPressのプロフィール画面下部の「プロフィールを更新」を押してからログアウトしてみましょう。

出ましたね！これで通常のユーザー名・パスワードの他に「Google Authenticator code」が必要になりブログのログインが超堅牢になりました。

「Google Authenticator code」はスマホのアプリに出てる6桁の数字（トークン）で、1分毎に変わります。

2段階認証を掛けるとMarsEditで投稿出来なくなるのでその対応

2段階認証を掛けると、MarsEditから投稿しようとするとパスが通らなくなります。その場合はWordPressの「Google Authenticator」の設定からアプリ用のパスワードを発行して対応します。

設定画面で「Enable App password」にチェックを入れ、「Create new password」ボタンを押すとパスワードが出てきます。

そのパスワードをMarsEditの投稿の際に求められるパスワードのとこに入れると認証されます。

※管理画面に表示されたやつには間にちょいちょい半角スペースが入ってるので、そのままコピペしてもダメなので注意。

というわけで

設定は簡単だし、いまのところ不都合は無く使えております。先日書いたようにアクセスが少ないサイトでも海外からのアタックは結構有るので、大事なブログが乗っ取られる前にこの2段階認証を設定されておく事をオススメ致します。