はじめに
Google Authenticatorは30秒ごとに変わる6桁のワンタイムパスワードを生成するアプリです。WordPressの二段階認証として設定することで、パスワード漏洩時の不正アクセスを防止できます。
前提条件
- スマートフォンに Google Authenticator または Authy をインストール済み
- WordPress管理画面にアクセスできること
設定手順
ステップ1:Two Factorプラグインをインストール
wp plugin install two-factor --activateステップ2:TOTPを有効化
1. 管理画面 → ユーザー → プロフィール
2. 「Two-Factor Options」セクションを見つける
3. 「Time Based One-Time Password (TOTP)」にチェックを入れる
4. 表示されるQRコードをGoogle Authenticatorでスキャン
ステップ3:初回検証
アプリに表示された6桁コードを「Authentication Code」欄に入力して「Submit」をクリック。成功するとTOTPが有効化されます。
ステップ4:ログイン時の操作
1. ユーザー名・パスワードを入力して「ログイン」
2. 「Authentication Code」の入力欄が表示される
3. Google Authenticatorアプリの6桁コードを入力
4. ログイン完了
秘密鍵を手動入力する場合(QRコードが使えない場合)
# 現在のTOTP秘密鍵を確認
wp user meta get {user_id} _two_factor_totp_key
# 新しい秘密鍵を手動設定
wp user meta update {user_id} _two_factor_totp_key 'BASE32エンコードされた秘密鍵'Google Authenticatorで「QRコードをスキャン」の代わりに「セットアップキーを入力」を選択してBase32の鍵を手動入力できます。
バックアップコードの保存
# バックアップコードを確認
wp user meta get {user_id} _two_factor_backup_codes
# バックアップコードを再生成(プロフィール画面から)
# 管理画面 → ユーザー → プロフィール → Backup Codes → Generate Verification CodesGoogle Authenticatorが使えなくなった場合
# SSHまたはphpMyAdminでTOTPを無効化
wp user meta delete {user_id} _two_factor_enabled_providers
wp user meta delete {user_id} _two_factor_totp_key
# パスワードのみでログイン可能になるAuthyへの移行(推奨)
Google Authenticatorはクラウドバックアップがないため、スマートフォン変更時に再設定が必要です。Authy はクラウド同期に対応しており、複数デバイスでの使用が可能です。
移行手順:
1. Authyをインストール
2. WordPress プロフィール → TOTPをリセット(既存QRコードを削除)
3. 新しいQRコードをAuthyでスキャン
4. Google Authenticatorの登録を削除サーバー時刻のズレに注意
TOTPは時刻ベースのため、サーバーとスマートフォンの時刻がずれるとコードが一致しません。
# NTP同期の確認(Linux)
timedatectl status
chronyc tracking
# 時刻同期の強制実行
chronyc makestep注意事項
- スマートフォン紛失前にバックアップコードを安全な場所に保存してください
- 機種変更時は必ず新しいスマートフォンに移行してから古い端末を初期化してください
- 開発環境と本番環境で別々のTOTPエントリを作成してください
まとめ
Two Factorプラグインを導入してプロフィール画面でQRコードをスキャンするだけでGoogle Authenticatorによる二段階認証が有効になります。デバイス紛失に備えてバックアップコードを必ず保存してください。