WordPressに二段階認証(二要素認証)が必要な理由と導入方法



リモートワークやテレワーク、または在宅ワークという新しい働き方に対応するためにセキュリティに関する知識や経験が必要となってきました。 同時にWordPressに自宅や社外からアクセスすること自体がリスクになりつつあるのも事実です。

今回は安心、安全にWordPressで作業するためにも、WordPressに二段階認証(二要素認証)が必要な理由と導入する方法についてご紹介します。

まずは二段階認証(二要素認証)について知っておこう

二段階認証、もしくは二要素認証とは、IDとパスワードによる入力のみのログインではなく、別の形で個人を確認することでセキュリティ性を高める認証方式を指します。

例えば、SMS認証、メール認証、二段階認証アプリによる認証、物理セキュリティーキーによる認証などが挙げられます。時たま見かける「CAPTCHA」は機械か人間かを見分ける仕組みであり、二段階認証ではないので注意しましょう。もちろん、機械的なサイバー攻撃に対するセキュリティ性が見込めるので同時に導入するのは非常におすすめです。

二段階認証を利用することで、外部から推測や憶測、または様々な形のサイバー攻撃による不正ログインの可能性を限りなく少なくできます。

注意点としてはログインする本人が二段階認証のための手段を失ってしまうと少々面倒な点です。自分自身がログインできない状況にならないようにするためにも、二段階認証の手段をいくつか備えておくのがおすすめです。

WordPressに二段階認証(二要素認証)が必要な理由

はじめにWordPressに二段階認証(二要素認証)が必要な理由を抑えておきましょう。

WordPressに対するサイバー攻撃への対策になる

WordPressはWeb制作初心者の方、またはプログラミングを学びたい方に人気があること、OSS(オープンソースソフトウェア)であることから、Web全体のページの比率としてもそれなりのシェアを有しています。 同時に上記の両方の理由から悪意のある第三者によるサイバー攻撃の標的となっていることもあり、セキュリティに関する知識や経験がないと思わぬ被害を受けることがあります。 WordPressに二段階認証を導入することで、絶対に悪意のある第三者にログインされないとまでは断言できませんが、セキュリティに関するリスクを限りなく小さくすることが可能です。

リモートワークやテレワーク、在宅ワークでも安心

WordPressに二段階認証を導入すれば、リモートワークやテレワーク、在宅ワーク時にログインするのも安心です。 基本的にはIPアドレスによる制限で管理画面へのアクセスをできないようにすべきですが、正直なところ利便性が損なわれてしまうのも事実です。 物理セキュリティキー、もしくはGoogleの認証アプリなどの二段階認証を導入すれば、IPアドレスの制限をしなくてもOKというこではありませんが、利便性を損ねずセキュリティレベルを引き上げることができます。

社内や組織内の全体的なセキュリティ強化につながる

WordPressに二段階認証を導入するタイミングで、GoogleやDropboxなどのオンラインサービスも同時に二段階認証を導入することで、社内や組織内の全体的なセキュリティ強化も期待できます。 二段階認証については、もちろん人によっては一手間に感じることもありますが、実際に導入してみると、物理セキュリティキーであればキーについているボタンを押すのみ、アプリの場合でも表示されている数字を入力するのみでセキュリティ性を高められることを考えると、その手間が大事なことに気が付きます。 むしろ、その手間を惜しんでサイバー攻撃による被害を受けてしまうことの方がリスクであると感じられるでしょう。

WordPressに二段階認証(二要素認証)を導入する方法

次にWordPressに二段階認証を導入する方法をご紹介します。基本的にはWordPressで二段階認証のプラグインを導入する形となります。

セキュリティーキーを利用する場合

物理セキュリティキーを利用する場合は「Two-Factor」といったプラグインを導入して、ユーザーごとの設定画面から物理セキュリティーキーを登録して二段階認証を設定します。 この時、WordPressがhttps対応でないと物理セキュリティキーが登録できないので注意しましょう。

Google Authenticatorを利用する場合

Two-Factor以外の二段階認証プラグインですと、Googleの二段階認証アプリである「Google Authenticator」を利用する形になります。 Google Authenticatorの場合はスマートフォンかタブレットでアプリをインストールすること、Google Authenticatorに対応した二段階認証プラグインを導入し、二段階認証するユーザーごとに設定する必要があります。 Google Authenticatorは一定の時間ごとに表示される数字が変化し、一定の時間内にその数字を入力することで二段階認証の手続きが完了する仕組みです。

その他の二段階認証(二要素認証)の場合

その他に二段階認証の方法については、メールでセキュリティコードの発行、ワンタイムパスワードの発行、QRコードの読み取り、CAPTCHAによるチェックなどが挙げられます。 WordPressに導入する二段階認証プラグインによって異なるので、使い勝手が良いものを選ぶようにしましょう。 また、二段階認証とCAPTCHA、ログインURLの変更やメールアドレスのみのログインなどを組み合わせることで、さらにセキュリティを強化できるということも知っておいてください。

まとめ:WordPressは情報資産であることを理解しよう

WordPressで二段階認証する必要がある?大げさじゃない?とお考えの方もいらっしゃるでしょう。 企業や組織として公式にWordPressを運用する場合、WordPressで構築されたサイト自体が情報資産であることをまずは理解すべきです。 もし、何らかの個人情報が含まれていた場合、情報漏洩のリスクがありますし、その他にもデータの改竄や誤った情報の発信、またはマルウェアを埋め込まれたなどなどのサイバー攻撃を受けた場合、社会的信用の失墜となることも忘れてはなりません。 これから先、二段階認証や二要素認証が当たり前の時代になるか、もしくはもっと複雑な認証技術に対応しなくてはならない時代が訪れる可能性もあります。 なるべく早い段階から二段階認証や二要素認証に慣れておくためにも、まずはWordPressに二段階認証や二要素認証を導入することをおすすめします。