7 つの最高の WordPress 二要素認証プラグイン: 安全なログイン

公開: 2022-11-08

Web サイトやアプリケーションに強力で安全なパスワードを使用することの重要性を見落としがちです。 大規模なデータ侵害が発生し、侵害されたかどうかを確認することが必要になった時代に、広範囲に及ぶ可能性のあるセキュリティ リスクから免除されているとは誰も断言できません。

最近では、最大のソーシャル プラットフォームの 1 つである Quota が、悪意のあるハッカーによって侵害されました。 結果? 1 億人を超えるユーザーの個人情報が公開されました。 名前、電子メール、パスワード (暗号化)、およびその他の機密情報が、Quora 外部の第三者によってアクセスされました。

この種の攻撃は、あなた個人とは何の関係もないように思えるかもしれませんが、Quora にサインアップしたことがある場合は、他のアカウントも危険にさらされるリスクにさらされています.

最近のその他の主要な侵害には、Adobe、LinkedIn が含まれます。最近では、ハッカーが最も人気のある WordPress GDPR プラグインの 1 つを悪用する方法を見つけました。

これが、WordPress の 2FA (2 要素認証) の出番です。 従来のパスワードで保護されたページとは異なり、2FA は、WordPress Web サイトを保護できる ID 検証の 2 番目のレイヤーを導入します。

この投稿では、サイトを保護するための最高の WordPress 2 要素認証プラグインを 7 つ紹介します。

  1. 二要素
  2. WP 2FA
  3. 二要素認証
  4. ミニオレンジ 2FA
  5. Duo 二要素認証
  6. ルブロン
  7. SecSign

WordPress 2 要素認証 (2FA) とは?

Google や Amazon などのサイトでパスワードを忘れたことはありませんか? リセットしようとすると、記憶に残るフレーズを使用するか、携帯電話に PIN コードを送信して、身元を二重に確認するよう求められました。 これは、2 要素認証の基本的な実装です。

二要素認証とは

アカウントへのアクセスを失った後、本人確認を 2 回行うだけでよいという意味での基本です。

より堅牢で安全なアプローチは、すべてのログイン試行が 2 要素認証によって確実に保護されるようにすることです。

2 要素認証に使用される最も一般的な方法には、外部メール アドレス、Google Authenticator や Authy などの携帯電話アプリを使用してセキュリティ コード (TOTP または HOTP) にアクセスする方法、FIDO などのプロトコルを使用するハードウェア ベースのトークン (YubiKey など)、 SMSまたは電話、およびパスワードに加えて覚えやすいフレーズ。

ワードプレスのログイン画面

幸いなことに、2 要素認証ソリューションを提供する WordPress プラグインは数多くあります。 Google Authentication や Authy などのプラグイン ユーザー サービスもあれば、メール検証やカスタム プッシュ通知など、まったく異なる方法を実装するプラグインもあります。

7 つの最高の WordPress 二要素認証プラグイン

1. 二要素

二要素プラグイン

Two-Factor は 100% 無料の 2 要素認証プラグインで、多くの有名な WordPress コア コントリビューターから提供されています。

無料であるだけでなく、その際立った機能は、次のようなさまざまな認証方法をサポートしていることです。

  • メールコード
  • TOTP – Google Authenticator などのあらゆる認証アプリで動作します
  • FIDO Universal 2nd Factor (U2F) – YubiKey などの物理的なセキュリティ キーを使用できます
  • バックアップ コード

プラグインの主な欠点は次のとおりです。

  1. 自分のアカウントを保護するのには優れていますが、サイトのさまざまなタイプのユーザーに 2 要素認証を強制するための多くのオプションは提供されていません.
  2. テキストベースの認証の統合は提供されません。

全体として、自分の WordPress アカウント (およびおそらく数人の寄稿者のアカウント) を保護したいだけであれば、この 100% 無料のオプションは始めるのに最適な場所です.

2.WP 2FA

WP 2FA プラグイン

WP 2FA は、多くの有名なセキュリティ ツールの背後にある同じチームである WP White Security の人気のある WordPress 2 要素認証プラグインです。 最も注目すべきは、WP アクティビティ ログ プラグインです。

WP 2FA を使用すると、無料版と有料版のさまざまな方法で 2 要素認証を設定できます。

無料版は、一般的な認証アプリ (Google Authenticator や Authy など) をサポートしています。 有料版は、SMS、プッシュ通知、WhatsApp、および着信通話を介した 2 要素をサポートする、より高度な Authy 統合を提供します。

また、ユーザーがメソッドにアクセスできなくなった場合に備えて、1 回限りのバックアップ コードもサポートしています。

また、カスタマイズ可能な 2 要素ポリシーを設定することもできます。これは、以前のプラグインより優れている大きな領域の 1 つです。 たとえば、特定のユーザー ロールに 2 要素の使用を強制し、他のロールにはオプションにすることができます。

信頼できるデバイス、2 要素セットアップによるユーザー オンボーディングなど、その他の便利な機能にもアクセスできます。

WordPress.org には機能的な無料バージョンがあり、有料バージョンはわずか 29 ドルからです。

3. 二要素認証

二要素認証プラグイン

二要素認証は、人気の UpdraftPlus バックアップ プラグインと同じ開発者によるフリーミアム プラグインです。

TOTP および HOTP メソッドをサポートしているため、Google Authenticator や Authy などの認証アプリを使用できます。

プレミアム バージョンでは、ユーザーがデバイスにアクセスできなくなった場合に備えて、緊急バックアップ コードも追加されます。

このプラグインが上記の Two-Factor プラグインよりも優れている分野の 1 つは、ポリシーの設定とさまざまなタイプのユーザーの管理に関してです。 ここではいくつかの例を示します。

  • 異なるユーザー ロールの 2 要素を有効/無効にします。 たとえば、管理者には必須ですが、サブスクライバーには必須ではありません。
  • 特定のユーザー ロールに対して 2 要素を有効または無効にします。
  • 管理者アカウントから他のユーザーの 2 要素を管理します。
  • ユーザーが特定の期間 (30 日間など) は同じデバイスを確認する必要がないように、信頼できるデバイスを許可します。

ユーザーがフロントエンドから2要素を管理するオプションなど、他にもいくつかの優れた機能があります.

ただし、2 つの要素を使用する方法には少し制限があります。ハードウェア キー、電子メール、または SMS/電話を使用するオプションはありません。

WordPress.org には機能的な無料バージョンがあり、有料バージョンはわずか 24 ドルからです。

4. ミニオレンジ 2FA

ミニオレンジ 2FA

機密データの露出を保護するための miniOrange のシームレスな認証ソリューション。 同社の WordPress プラグインは、Google Authenticator サービスと簡単に統合できるように構築されています。 ただし、スキャン可能な QR コード、プッシュ通知、ソフト トークン、セキュリティの質問などの追加の認証方法を使用できます。

miniOrange 認証方法

プラグインを有効にすると、miniOrange ダッシュボードに移動して、好みの認証検証方法の設定を開始できます。 直感的なインターフェース設計により、自分に適したソリューションをすばやく簡単に選択できます。

プッシュ通知や QR コードなどのより堅牢な検証技術を使用する場合は、miniOrange のモバイル アプリケーションをインストールする必要があることに注意してください。

無料版では、2FA をサイトごとに 1 人のユーザーに制限しています。 複数のユーザーに対して 2FA を有効にしたい場合は、有料オプションを検討する必要があります。 プレミアム バージョンを使用する利点は、追加の認証方法を有効にできることです。 具体的には、SMS と電子メールの検証です。

小規模なブログを運営していて、アクティブな管理者があなただけである場合は、サイトのセキュリティを十分に保護するには無料バージョンで十分です。

5.デュオ二要素認証

Duo 二要素認証

Duo は、WordPress アカウントのセキュリティを保護するための強力な「サービスとしての 2FA」プラグインです。 簡単なオンボーディング プロセスは、設定に数分しかかかりません。

プラグインの構成が完了すると、別のセキュリティ層が WordPress サイトに追加されます。

デュオ セキュア ログイン

上記のように、ユーザーがデフォルトの WordPress 資格情報を使用してログインすると、選択した Duo 認証方法のいずれかを使用して ID を二重に確認するよう求められます。

Duo が提供する認証方法の完全なリストには、次のものが含まれます。

  • Duo アプリを使用したシングルタップのログイン アクセスにより、身元をすばやく簡単に証明できます。
  • アプリケーションから生成されたカスタム パスコード。 オフラインモードでも動作します。
  • SMS を使用して電話番号に送信されるカスタム パスコード。 繰り返しますが、インターネットにアクセスできない場合に最適です。
  • 固定電話番号と携帯電話番号の両方への簡単なコールバック。

WordPress サイトのセキュリティに関して (バックアップに加えて) 安心したい場合は、Duo が最もユーザーフレンドリーな選択肢の 1 つです。

6.ルブロン

Rublon 二要素認証プラグイン

ハッカーがサイトに侵入するための新しい方法や手法を常に試みていることはよく知られている事実です。 また、機密情報を管理している場合、業界レベルの保護を確保するために余計な努力をしない理由はありません。

これは、高度で洗練された 2 要素認証ソリューションである Rublon の前提です。 確認のためにメールにリンクを送信するなど、さまざまな確認方法を構成できます。 Rublon はデバイス情報を保存し、パスワードのみを使用してログインできるようにします。

さらに、Rublon アプリを使用して、サイトのセキュリティをどこにでも持ち運ぶことができます。 デフォルトのユーザー名/パスワードを使用してサインインし、電話を使用して QR コードをスキャンして身元を確認します。

2FAS 二要素認証

最良の部分は、このプラグインをインストールして忘れることができることです. 難しい学習曲線や複雑な機能は必要ありません。WordPress サイトのシンプルな 2FA セキュリティだけです。

7. セックサイン

SecSign セキュリティ

SecSign は、WordPress サイトにユニバーサルなモバイルベースの 2FA 認証エクスペリエンスを提供します。 プラグインは、ブルート フォース保護を確保するために最先端の暗号化方法を使用します。

さらに、SecSign によって生成された秘密鍵が外部サーバーに接続されることはありません。 代わりに、キーはモバイル アプリによって直接作成され、あなただけがそれらを見ることができます。

このまとめのプラグインと他のプラグインの主な違いは、SecSign が個人 ID プラットフォームである SecSign ID を使用していることです。 これは、WordPress 資格情報をまったく使用しないことを意味します。 代わりに、SecSign ポータルを使用して、ユーザーごとに一意の ID 名を生成できます。

その結果、指紋 (Apple ユーザー向け) などの検証方法や、カスタム画像選択などの複雑でない手法を利用できます。

どの 2 要素認証プラグインを使用する必要がありますか?

最高の WordPress 2 要素認証プラグインを選択するには、次の 2 つの主な要因に依存します。

  1. 使用する 2 要素認証方法。 たとえば、物理的な FIDO キーと TOTP スマートフォン アプリ。
  2. さまざまなタイプのユーザーに 2 要素認証を適用するために必要な柔軟性。

もちろん、あなたの予算も影響するかもしれません。

自分のWordPress アカウントを保護したいだけなら、Two-Factor プラグインはさまざまな方法をサポートし、使いやすいため、始めるのに最適な場所です.

一方、次の状況の 1 つ以上に当てはまる場合は、WP 2FA または 2 要素認証を検討することをお勧めします。

  1. サイトの他のユーザーに 2 要素認証を適用したいと考えています。これには、ユーザーの種類ごとに異なるルールを設定することも含まれます。 たとえば、編集者ユーザー ロールには 2 要素が必要で、サブスクライバー ユーザー ロールには必要ない場合があります。
  2. 認証方法として SMS または電話を使用したい。

WP 2FA はこれらの両方を処理できるため、万能なオプションになります。 2 要素認証は、さまざまなタイプのユーザー向けにポリシーを設定するのに適していますが、2 要素方式として SMS や電話をサポートしていません。

まとめ

データの安全性に価格を設定することはできません。 攻撃にさらされると、ブランドのアイデンティティが損なわれ、製品やサービスに対するユーザーの信頼が低下し、サイトがハッキングされたときに頭が痛くなり、時間が失われる可能性があります. 100% のセキュリティを保証することはできませんが、2 要素認証は、不正なサイト アクセスを防止するための最良の手法の 1 つです。

この投稿で調査したプラグインは、インストールが非常に迅速で、設定が簡単です。 モバイル アプリケーションを使用するという考えが気に入らない場合でも、電話を使用してサイトへのアクセスを確認するか、一意のコードを安全な場所に保存する方が、1 つのパスワードだけに頼るよりも優れています。

セキュリティのベスト プラクティスの詳細については、WordPress サイトを保護する 14 の方法 – ステップ バイ ステップおよび WordPress セキュリティを強化する 10 のプラグインをお見逃しなく。