この記事で紹介するプラグインは二段階認証を WordPress のサイトに実装するプラグインです。
ちなみに、「二要素認証」と「二段階認証」は異なりますので、注意してください。
Community Plugin としての Two-Factor
実は、このプラグイン明確な開発者がいないというか、始めた人はいるのですが、コミュニティーで開発しているOSS(オープンソースソフトウェア)ではあるあるな割にしっかりとしたプラグインです。
このプラグインは元々が2013年ぐらいだったと思うのですが、何か(Googleだったかな?)のセキュリティハッカーイベントで開発が始まって今に至るというOSSの素晴らしいコミュニティ環境が育んだプラグインとなっています。
なので、開発者欄に多数の人が参加しています。アクティブサイト数もさることながら、OSSとして複数の開発者が参加していると言うことは信頼できるプラグインとして判断して良いと思います。
二段階認証とは
そもそもの話ですが、二段階認証の説明をします。基本的には不正ログインを防ぐための手法の一つです。
多要素認証における二段階認証、2ステップ認証とは、一般的にパスワードやPINなど「記憶情報(知識情報)」と、もう1つの別の要素を組み合わせたものである。まず最初にパスワード等で認証し、その後に別の要素により認証するというように、段階(ステップ)を踏むため、二段階認証と称する。3つ以上の段階に渡る場合は多段階認証と言う。
「多要素認証」出典: フリー百科事典『ウィキペディア(Wikipedia)』
多要素認証における二段階認証での2つ目の要素には、オフラインでユーザー宛に送付された情報や、ソフトウェアトークン(乱数発生アプリ)などが一般的に使われる。携帯電話等へのSMS認証も同様である。
簡単に言うと「固定のパスワード」と「リアルタイムに変化するパスワード」の二段階で認証を行う認証方法を二段階認証と日本で言う感じです。
Two-Factor プラグインの特徴
このプラグインで二段階認証を実装する方法はユーザー毎に実装する形になっています。
簡単に言うと WooCommerce を利用していて、すべての購入者(利用者)に二段階認証を施したい場合は、使いにくい仕様となっています。ですので、このプラグインは管理者だけに二段階認証を実装したい場合に最適なプラグインです。
他のプラグインで二段階認証できるプラグインもありますが、セキュリティ対策が別途ついていたりするので、管理者だけに二段階認証をつけたい場合には、シンプルでとても良いプラグインとなっています。
利用できる二段階認証の種類
利用できる二段階認証の種類は以下の3つです。
- メール認証
- ワンタイムパスワード(TOTP)[Google 認証]
- FIDO U2F 秘密鍵
それぞれの認証の仕組みを説明します。
メール認証
仕組み的に一番簡単なのは「メール認証」でしょうか。メールにリアルタイムパスワードを送ってくれます。
ただ、メール送信に少し時間がかかることもあったりするのがデメリットでしょうか?あと、メールアプリを立ち上げ、対象のメールを探さないといけないのも少し面倒?
ワンタイムパスワード(TOTP)[Google 認証]
ご自身のスマートフォンに Google Authenticator と言うアプリをインストールしてQRコードを読み込んで設定する認証方法です。
一度設定するとスマホのアプリで認証コードをそのまますぐに入力すればログインできるようになりますので、メール認証よりも慣れると簡単です。ただし、手元にスマホがない場合はログインができないと言う問題点があります。もしくはスマホが壊れた場合にはログインが出来なくなってしまいます。
FIDO U2F 秘密鍵
これは、別途物理的にセキュリティーキーが必要です。通常、購入する形です。ちなみに、Googleで購入できるキーは以下となります。
ちょっとカッコいいですよね?www
ログインする時に、パソコンにUSBを差し込んでログインする形です。これは、かなりセキュリティー的に高いのではないかと思いますが、先のスマホと一緒でその端末がないとログインが出来なくなります。ただ、スマホと違って、キーの受け渡しが比較的簡単です。スマホのアプリに入れてしまうと、その個人以外には渡しづらいですが、セキュリティーキーだと、例えばオフィスのある場所に置いておくことによって、それを共有している人だけがログインできるようになります。
会社でしかログインを使わないようにする場合などには適している管理方法です。
優先順位をつけて複数設定可能
このプラグインのおすすめの理由の一つがこの3つの認証を複数設定することが出来る部分です。
例えば、「メール認証」と「ワンタイムパスワード(TOTP)」を設定しておくと、もしスマホがない場合や壊れた場合はメール認証でログインすることが出来るのです。二段階認証の注意すべき部分は、もし二段階認証の対応が出来なくなった場合のことも想定しておかないといけないので、二つぐらいは設定できた方がいいのではないかと言うのが個人的な意見です。
設定方法
インストール方法は割愛させていただきます。一般的な公式プラグインのインストール方法と同じになります。
それぞれのユーザー設定のページにて設定をする形になります。「ユーザー」から「ユーザー一覧」へ移動して、設定したいアカウントの「編集」を押すか、ログインしているアカウントの設定をする場合は「ユーザー」の「プロフィール」から設定します。
すると左のような画面になり、ここから設定を行います。
メール設定
めっちゃ簡単です。チェックを入れるだけです。それで件名が「○○○のログイン確認コード」と言うメールが送信され、本文に6桁の認証コードが入ったメールが送信されますので、それを入力する形となります。
まずは、管理者に2段階認証を
まずは、WooCommerceの管理者やショップオーナーアカウントに対して二段階認証をつけるようにしましょう。2025年3月には必須の対応になると思われます。