2段階認証は強いね――自分がログインできなくなるくらいには。
と、こないだAmazonの二段階認証にまつわる落とし穴にハマった人が申しておりますが、その一方、二段階認証が強固であるのは事実です――なにせ、自端末を持っていないとログインすらできませんからね。
そうなると、しょっちゅう破られることに定評があるらしいWordPressにも二段階認証ログインを導入したくなるのが人の性です。
幸い、このためのプラグインがあるので、早速使ってみましょう。
端末側の準備
――おっと、その前にあなたの端末に二段階認証用のアプリを導入しましょう。
これをインストールしない限り何をやっても無駄、というか最悪ログインすらできなくなりますからね?
Android端末では代表的なところでは、
iOS端末でも同様に――おっと、こちらは端末を持っていない以上迂闊なことは言えませんね――、
これらを使っておけば、まぁ間違いないでしょう。
なお、Googleのアカウントを使ってるなら二段階認証を有効にして前者を、Microsoftアカウントを使ってるなら二段階認証を有効にして後者を使うべき。二段階認証が使えるなら使うに越したことはないです。
プラグイン"Google Authenticator"のインストールと設定
この二段階認証をサポートするプラグインはいくつかありますが、できるだけ機能が単純な方が望ましいでしょう。* 1もちろん、人にもよる。あくまで私は、ね。
このためのプラグインとして、今回は
Google Authenticator – WordPress plugin | WordPress.org
を使うこととします。名前が直球ですけど、Google謹製プラグインではないようです。
設定は、「(誰に対して)二段階認証を有効にするか」程度と下記のとおりに単純明快なので、そのままでいいような気がします――こと私のような、単独でのブログ運営者にとっては。
シークレットキーを端末に追加
さて、むしろこちらがこのプラグインの「本番」でしょう。
インストール後、「ユーザー」→「当該ユーザーの名前」→「編集」と進むと、下記のように Google Authenticator Settings の項目が出てきます。
ここで、Show/Hide QR Code ボタンを押すと、シークレットキーのQRコードが生成されるので、自端末の二段階認証アプリのカメラでそれを読み取り、追加します。
すると、次回ログイン時からは、
こう認証が求められます。ここで自端末に表示された6ケタ数値を入力すれば、ログイン成功です!
二段階認証でログインできなくなった場合
さて、二段階認証につきまとう問題ですが、端末の紛失・破損、アプリを削除した・設定を削除した等、二段階認証が仇となってログインできなくなることがありえます。
この場合、普通のサイトだと、
- 別の回復用端末――メールや携帯電話――を登録する。
- 二段階認証を無効にするコードを受け取って、記録しておく。
などの方法があるのですが、WordPressは自分で管理するサイトなので別の手段が使えます。
方法は単純そのもので、
- FTPアプリケーションでサイトにFTP接続。
方法やインストール階層、FTPアプリケーションはレンタルサーバーごと・個人ごとに違うと思われるので割愛します。
大抵、どこのレンタルサーバーでも説明がありますしね。 - WordPressがインストールされたディレクトリまで移動。ちなみに、私が使ってるXserverだと「簡単インストール」では
/(DomainName))/public_html になります。 - その配下の、/wp-content/plugins に移動。ここがプラグインのインストール先ディレクトリになるようです。
- /google-authenticator を探し、削除。
これだけです。簡単。
他のプラグインも問題が起きたらこの方法で強制的に止めることができるようです。
ただ、本当はこんな事態を起こさないに越したことはないんですけどね。
注釈