WordPress.orgの「Two-Factor」プラグインを使って、WordPressサイトに認証アプリの2段階認証ログインを設定する方法をご紹介します。
目次
「Two-Factor」プラグインを設定する
2段階認証の認証方法を設定する
WordPressサイトに「Two-Factor」プラグインをインストール・有効化します。

「Two-Factor」プラグインの設定画面を開き、「認証アプリ」を選択して設定を保存します。

2段階認証を適用するユーザーを設定する
WordPressのユーザー管理画面を開きます。はじめは「Two-Factor」が「無効」になっています。

2段階認証を適用するユーザーの設定画面を開くと、その下の方に「2段階認証の設定」エリアがあります。「認証アプリを有効化」を選択して、表示されているQRコード(※)を認証アプリで読み取ります。

認証アプリは「Google Authenticator」を例にご紹介します。

「Google Authenticator」を起動して右下「+」ボタン → 「QRコード(※)をスキャン」を選択するとカメラモードになります。その状態で、「2段階認証の設定」エリアに表示されていたQRコード(※)を読み取ります。

QRコード(※)を読み取ると、一定時間でリセットされるのコードが表示されます。

そのコードを「3.認証アプリで生成されたコードを...」に入力して「検証」をクリック。その後「プロフィールを更新」をクリックして2段階認証を有効化します。

2段階認証ログインをテストする
いつもどおりWordPressにログインします。

通常であればすぐにWordPressダッシュボードが表示されるところ、「Two-Factor」が機能していると2段階認証のコードを入力する画面が表示されます。

「Google Authenticator」をもう一度起動して、そこに表示されたコードを入力するとログインできます。
まとめ
WordPress.orgの「Two-Factor」プラグインを使って、WordPressサイトに認証アプリの2段階認証ログインを設定する方法をご紹介しました。
WordPressの不正アクセス対策として、ログインページのURLを変更し、管理画面を秘匿する方法が取られることがあります。
しかし、WordPressへの不正アクセスは、ログインページへのアクセスだけでなく、APIなど複数の経路から行われるため、この方法だけでは対策としての効果は限定的とされています。
また、WordPressのURL変更は、他の機能やプラグインに影響を与える可能性があり、意図しない不具合の原因となることがあります。さらに、URLを変更していることにより、不具合発生時に原因の特定が難しくなる場合もあります。
そのため、不正ログイン対策を検討する際は、ログインURLの変更ではなく、国外IPからのアクセス制限や2段階認証といった、より効果的で運用がしやすい方法の方が良いとされています。
※:QRコードは株式会社デンソーウェーブの登録商標です。

