English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
WordPress 2FA ロックアウトから回復する方法
Dec 28, 2023ホーム » Security Bloggers Network » WordPress の 2FA ロックアウトから回復する方法
2FA を使用して WordPress Web サイトを保護することは、実行できる最善のセキュリティ対策の 1 つです。 セットアップが非常に簡単でありながら、セキュリティ層が追加されます。 さらに、ブルートフォース攻撃など、ログインベースの攻撃の大部分を阻止した実績もあります。 多くの WordPress 管理者はすでに 2FA を実装していますが、まだこのテクノロジーを敬遠している管理者もいます。 その主な理由は、ロックアウトに関する誤解です。
この記事では、ロックアウトを回避するために実行できる予防策について説明します。 また、2FA デバイスの紛失またはサービスの停止によりロックアウトされた場合の対処法についても説明します。
目次
2FA は、WordPress プラグインを使用して、あらゆる WordPress Web サイトに簡単に実装できます。 ほとんどの場合、プラグインは他のサービスとは独立して動作し、サードパーティのサブスクリプションは必要ありません。 これにより、エコシステム内の「可動部分」の数が減少します。 SMS、Whatsapp、音声などの一部の 2FA メソッドは、2FA が機能するために必要な OTP (ワンタイム パスワード) を配信するためにサードパーティのネットワークに依存しているため、機能するには別のサブスクリプションが必要になります。
この記事では、WP 2FA プラグインを使用して、WordPress で 2FA を使用する場合の 2FA 回復オプションを説明します。 WP 2FA には、選択できる 6 つ以上の異なる認証チャネルが付属しており、現在市場で入手可能な最も包括的な WordPress 2FA プラグインの 1 つとなっていることに注意してください。
多くの場合、2FA ロックアウトの苦痛を回避するには、事前に計画を立てることが最善の方法です。 すでに 2FA を構成している場合でも、まだ研究段階にある場合でも、ロックアウトを回避するために実行できる手順があります。 これにより、企業とユーザーのテクノロジーに対する不安が軽減されるだけでなく、ダウンタイムが回避され、生産性の損失も排除されます。
多くの WordPress 管理者が直面する問題の 1 つは、ユーザーが規定の猶予期間内に 2 要素認証を設定しないことです。 ポリシーの構成によっては、ユーザー アカウントがブロックされ、管理者によるブロックの解除が必要になる場合があります。
これはより安全なオプションである可能性がありますが、管理者が相当以上の集中力のないユーザーを管理している場合は、代わりに 2FA が構成されるまでダッシュボードへのアクセスをブロックすることをお勧めします。 これにより、ユーザーはアカウントのブロックを解除するために側からの介入を必要とせずに 2FA を確実にセットアップできます。
WP2FA は、ロックアウトの回避に役立つ代替 2FA 認証方法の選択肢を提供します。 ロックアウトは、ユーザーが携帯電話を忘れたり紛失したりするなど、制御できないさまざまな理由で発生する可能性があるため、事前に対策を講じることが常に賢明な選択です。
代替検証方法を使用すると、主な方法が失敗した場合に代替の 2FA 方法を選択できます。 ここで、ユーザーは利用可能なメソッドのいずれかをプライマリ メソッドとして設定してから、セカンダリ メソッドを事前に構成できます。 これを例で説明してみましょう。 ユーザーは、TOTP Authenticator アプリを主な方法として設定し、電子メールを 2 番目の方法として設定している場合があります。 携帯電話を忘れた場合、修理に出した場合、またはバッテリーが切れた場合は、代わりに電子メールで OTP を受け取ることを選択するだけです。
WP 2FA では、ユーザーが主な方法でログインできない場合に使用できるバックアップ コードも提供しています。
現在ロックアウトされており、バックアップ方法またはセカンダリ方法が設定されていない場合でも、WordPress アカウントへのアクセスを取り戻すことができます。 ただし、少し手間がかかりますが、数分もかからないはずです。
次に進む前に、WordPress にまだアクセスできる他の管理者ユーザーがいるかどうかを確認する必要があります。 この場合は、プロフィール ページから 2FA 構成をリセットするように依頼できます。
2FA 設定をリセットできる人がいない場合は、2FA コードを入力せずに WordPress にアクセスできるように、プラグインを手動で無効にする必要があります。 プラグインフォルダー名を変更するには、FTP/SFTP または SSH アクセスが必要です。 これによりプラグインが効果的に無効化され、2FA なしでログインできるようになります。
2FA ロックアウトは、選択した方法に応じて、いくつかの理由で発生する可能性があります。 コードを受け取らない理由、またはコードが機能しない理由を知ると、問題のトラブルシューティングをより迅速に行うことができます。
電子メール認証は、ユーザーがログイン用の認証コードを取得する最も簡単な方法の 1 つです。この方法は完全に機能しますが、WordPress Web サイトがタイムリーに電子メールを送信できるかどうかに依存していることに注意してください。 また、ホスティングプロバイダーがそのような電子メールを転送するなど、制御できない要因にも依存します。WordPress は電子メールの送信に wp_mail 関数を使用します。 この関数は PHP メール関数に基づいていますが、電子メールの配信を保証する最も信頼できるオプションではありません。 もう 1 つ考慮すべき点は、ホスティングです。 一部のホスティングプロバイダーは、サーバーがスパムとして使用されるのを避けるために、電子メールを完全に禁止しています。
Google Authenticator や Authy などのアプリは、多くの場合、2FA でのログインに必要なワンタイム コードを簡単に受け取る方法を提供します。 これらのアプリは時間ベースのアルゴリズムを使用して同期を維持し、最初の同期は QR コードを通じて行われます。
アプリとサーバーの同期が失われる可能性があるため、アプリを再同期すると問題が解決する可能性があります。 携帯電話を変更する場合、Google Authenticator を使用して、ある携帯電話から別の携帯電話にコードを転送できます。 一方、Authy ではコードのクラウド バックアップを作成できるため、コードを取得するために必要なのは、新しい携帯電話でも、PC やラップトップでも、資格情報を使用してログインすることだけです。
WordPress のセキュリティは、ウェブサイトの寿命を延ばす上で非常に重要です。 2FA は、費用対効果が非常に高い、簡単に実現できる成果です。 このテクノロジーには多くの有名企業や専門家が結集しており、その有効性には議論の余地がありません。 しかし、多くの管理者は、ユーザーのロックアウトは 2FA の価値よりも問題のほうが多いのではないかと懸念しています。 この記事で示したように、これは WP2FA には当てはまりません。
ユーザーのロックアウトを回避する方法は数多くあるため、WordPress 管理者がユーザーに 2FA を提供しない理由はありません。 事前に計画を立てることは常に推奨されますが、過去を振り返ったほうが賢明です。 このため、事後にアクセスを復元するためにできることについても触れ、2FA の実装を確実に成功させるために必要な情報をすべて提供します。
2FA メールを受信できない理由は数多く考えられます。 ほとんどの場合、WordPress でメールの送信に問題が発生しているか、チェーン内のノードが何らかの理由でメールを適切に転送していないことが問題である可能性があります。
WP 2FA には、電子メールが送信されていることを確認できる電子メール テスターが組み込まれています。 ただし、これがすべてではないため、電子メールがどのように送信および配信されるかを少し理解する価値があります。
簡単に言うと、WP 2FA は電子メールを作成して WordPress に転送し、その後、構成された SMTP サーバーに電子メールを送信します。 WordPress は、PHP のメール関数に基づいて構築された wp_mail と呼ばれる関数を使用してこれを行います。 これはそのままの状態で非常にうまく機能する傾向がありますが、問題が発生しやすい場合があります。
Check & Log Email などのプラグインは、持っておくと便利なツールです。 送信されたすべての電子メールをログに記録し、デバッグ用のツールを提供します。 WP 2FA では、電子メール配信をテストすることもできます。これには、[WP 2FA] > [設定] > [電子メール設定とテンプレート] に移動してアクセスできます。 ここですべてがうまくいけば、問題はさらに先にある可能性があります。 電子メール配信の信頼性を向上させるために、SMTP 電子メール プラグインの選択を検討することをお勧めします。
この投稿「WordPress 2FA ロックアウトから回復する方法」は、最初に WP White Security に掲載されました。
*** これは、Joel Barbara が執筆した WP White Security の Security Bloggers Network シンジケート ブログです。 元の投稿を読む: https://www.wpwhitesecurity.com/recover-from-2fa-lockout/
目次