WP 2FA – (2要素認証) Two-factor authentication for WordPress

説明

WordPress 用の無料で使いやすい2要素認証プラグイン

WordPress ウェブサイトのログインにセキュリティレイヤーを追加し、ユーザーを保護しましょう。パスワード漏洩、自動パスワード推測、ブルートフォース攻撃に対する最善の保護策である2要素認証 (2FA)を有効にしましょう。

WP 2FAプラグインを使用すると、WordPress 管理者に2要素認証を有効にしたり、ウェブサイトの全ユーザー、または特定の権限を持つユーザーに2要素認証を強制したりできます。このプラグインは非常に使いやすく、ウィザード形式で分かりやすい手順で設定できるため、技術に詳しくないユーザーでも技術的なサポートなしで2要素認証を設定できます。

機能 | はじめに | プレミアム版をゲット!

WP 2FA 主要なプラグインの機能・特長

  • パスワードレスログインのための パスキーのサポート
  • 無料の二要素認証 (2FA) すべてのユーザー向け
  • 複数の 2FA 方法 に対応, 認証アプリ (TOTP) およびメールでのコード送信を含む
  • 開発 API その他の 2FA の方法 ( WhatsApp、OTP トークンなど) を統合
  • ユニバーサル 2FA アプリの対応 – Google Authenticator 、Authy 、および TOTP 対応のあらゆるアプリに対応しています
  • バックアップコード (16桁) 復旧用アクセスコード
  • ウィザードによるセットアップ – 専門的な知識は不要
  • 2FA ポリシー 猶予期間を設けた設定の適用、または即時有効化
  • REST API のエンドポイント カスタム統合およびヘッドレス WordPress 向け セットアップ
  • ダッシュボード不要の設定 – ユーザーは、 WordPress の管理画面にアクセスしなくても 2FA を設定できます
  • 編集可能なメールテンプレート で完全なカスタマイズを
  • まだまだあります !

WP 2FA Premium にアップグレードして、さらに多くのメリットを享受しましょう

WP 2FA のプレミアム バージョンには、WordPress ウェブサイトのログイン セキュリティを次のレベルに引き上げるさらに多くの機能がバンドルされています。

WP 2FA のプレミアム エディションでは、さらに多くの 2FA 方式、WooCommerce とのワンクリック連携、信頼できるデバイス機能、広範なホワイト ラベリング機能などが利用できます。

WP 2FA Premium をチェックしてください !

プレミアム版の機能一覧

  • 無料版に含まれるすべての機能
  • 完全なホワイトラベル機能 ウィザード、メール、 SMS 、および 2FA ページ内のすべてのテキストと画像を変更する
  • ユーザーごとに複数のパスキーをサポート 柔軟なパスワード不要のログイン
  • 設定不要のメール2段階認証 手動での設定なしでユーザーを自動的に登録する
  • YubiKey ハードウェアキーのサポート エンタープライズレベルのセキュリティ
  • その他の2段階認証の方法 SMS やメールのリンクなど
  • 信頼されたデバイス ユーザーが設定された期間中は2段階認証なしでログインできます
  • パスワードのリセット時に2段階認証を必須にする アカウントのセキュリティを強化するため
  • 2段階認証なしで次のユーザーログインを許可 これにより、認証でロックアウトされたアカウントの復旧を支援します
  • ワンクリックで WooCommerce と連携 顧客およびストア管理者の2段階認証を有効化
  • その他にも盛りだくさん !

WP 2FA Premium にアップグレードする利点の詳細については、WP 2FA プラグインの機能と利点のページを参照してください。

無料およびプレミアムサポート

WP 2FA の無料版は、WordPress サポートフォーラムで無料でサポートをご利用いただけます。プレミアムユーザーには、1対1のメールによるプレミアムの世界クラスのサポートをご利用いただけます。メールサポートのご利用には、プレミアムにアップグレードください。

その他のご質問、フィードバック、またはご連絡をご希望の場合は、お問い合わせフォームをご利用ください。

MELAPRESS による保守・サポート

Melapress は、 Melapress Login Security 、 Melapress Role Editor 、WordPress 用アクティビティ ログ プラグインとしてユーザーから 1 位に評価されている WP Activity Log など、高品質の WordPress 管理およびセキュリティ プラグインを開発しています。

WordPress のセキュリティおよび管理プラグインのリストを参照して、当社のプラグインが WordPress ウェブサイトとユーザーのセキュリティと管理をより適切に管理および改善するのにどのように役立つかを確認してください。

WP 2FA のインストール

WordPress 内から

  1. 「プラグイン」 > 「新規追加」へ移動
  2. ‘WP 2FA’ を検索
  3. 「プラグイン」ページから WP 2FA をインストール・有効化

手動で

  1. WordPressプラグインリポジトリからプラグインをダウンロードします
  2. zip ファイルを解凍し、フォルダを「/wp-content/plugins/ディレクトリ」にアップロードします。
  3. WordPress の「プラグイン」メニューから WP 2FA プラグインを有効化してください

こちらで特集されました:

スクリーンショット

FAQ

プラグインはMelapressに何らかのデータを送信しますか?

いいえ、プラグインは私たちに一切データを送信しません。私たちが受け取るのは、プラグインのプレミアムエディションのライセンスデータのみです。

プラグインではどのような 2FA 方式が利用できますか?

WP 2FA の無料版には、以下の 2FA 方式が含まれています: 認証アプリによる 2FA とメール経由のコード。これにより、 Google Authenticator OTP を使用できます。プレミアム版には、 YubiKey 、ワンクリックメールリンク、 SMS 2FA 、 Authy プッシュ通知が追加されます。

カスタムログインプロセスや AJAX ベースのフォームに二要素認証 (2FA) を統合するにはどうすればよいですか ?

WP 2FA には REST API が含まれており、開発者は AJAX ベースのログインフォーム、モバイルアプリ、ヘッドレス WordPress ウェブサイトなどのカスタム認証フローで 2FA を有効化および検証できます。詳細については、 WP 2FA ドキュメントの REST API をご覧ください。

ロックアウトされないようにするにはどうすればよいですか?

WP 2FA にはバックアップ認証方法が用意されているため、メインの認証方法が失敗した場合でも、管理者とユーザーはログインできます。プラグインの無料版にはバックアップコードが含まれており、 2FA 設定時または設定後いつでもプロフィールページから設定できます。プレミアム版では、メール経由で 2FA バックアップコードが提供されます。

ロックアウトされたらどうなりますか?

万が一、2FAコードを提供いただけない場合は、 WordPress ダッシュボードにアクセスするためのいくつかの手順があります。まず、 2FA をリセットできる別の管理者がいるかどうかを確認してください。それができない場合は、プラグインを手動で無効化し、 2FA なしでログインしてからプラグインを再度有効化し、 2FA を再設定してください。

WP 2FA はマルチサイトネットワークに対応していますか?

はい、WP 2FA はマルチサイトに対応しています。プラグインはサイトネットワークレベルで有効化できます。2FA ポリシーは、サイトネットワーク上のすべてのユーザー、副権限のユーザー、またはサイトごとに適用できます。また、異なるドメインを持つサイトネットワークの設定もサポートしています。

プラグインはアップデートを受け取りますか?

私たちは、プラグインが常に最高の状態で動作し続けるように、定期的にプラグインを更新し、随時新しい機能を追加しています。

プラグインは Google Authenticator に対応していますか?

はい、WP 2FA は WordPress で Google Authenticator に完全に対応しています。WP 2FA はその他にも多くの 2FA 認証アプリをサポートしています

困ったときにサポートを受けられますか?

プラグインの無料版のサポートは、WordPress.org サポートフォーラムでのみ提供されます。また、すべての技術ドキュメントと製品ドキュメントについては、サポートページをご覧ください。

プレミアム エディションをご利用の場合は、1 対 1 の メール サポート を通じてサポート チームに直接アクセスできます。

セキュリティバグを報告するにはどうすればいいですか ?

セキュリティバグは Patchstack 脆弱性開示プログラムを通じてご報告いただけます。こちらのフォームをご利用ください。詳細については、Melapress プラグインセキュリティプログラムをご覧ください。

評価

2026年4月25日 1 reply
I had a great experience installing and using this plugin. Didn’t have any issues. Had few doubts at the beginning which were promptly cleared by them although I was using the free version. Thanks guys..
2026年4月17日 1 reply
I was facing an issue of multiple codes being sent at the time of login. I was surprised for the standard of the plugin but luckily I reached their support and they guided that this is because I have had brute force setting active and disabling it is not recommended but by disabling we can get rid of that multiple codes being sent. The reply was prompt and helped me quickly on the day of deadline of the project delivery.
2026年4月16日 1 reply
I received a quick response to my support request, along with detailed information despite the fact that the origin of the issue ended up being WPEngine, not WP 2FA. I appreciate that you guys take the time to help your customers out and provide such helpful information!
2026年4月9日 1 reply
The support team at Melapress (specifically Lucian) is fantastic. They were incredibly responsive and worked closely with us to perfectly configure passkey logins for our Administrator accounts. For backend security, this plugin is top-notch and does exactly what it promises. However, we unfortunately had to disable 2FA for our WooCommerce ‘Customer’ role. While standard checkout worked fine, the 2FA system intercepted and broke our custom WooCommerce deposit payment links, causing customers to see a ‘page does not exist’ error when trying to pay their pending balances. Overall: 5/5 for Admin/backend security and customer support, but be cautious and test thoroughly if your e-commerce store relies on custom WooCommerce payment endpoints or deposit links.
169件のレビューをすべて表示

貢献者と開発者

WP 2FA – (2要素認証) Two-factor authentication for WordPress はオープンソースソフトウェアです。以下の人々がこのプラグインに貢献しています。

貢献者

“WP 2FA – (2要素認証) Two-factor authentication for WordPress” は14ロケールに翻訳されています。 翻訳者のみなさん、翻訳へのご協力ありがとうございます。

“WP 2FA – (2要素認証) Two-factor authentication for WordPress” をあなたの言語に翻訳しましょう。

開発に興味がありますか ?

コードを閲覧するか、SVN リポジトリをチェックするか、開発ログRSS で購読してみてください。

変更履歴

4.0 (2027-07-07)

  • New User Interface (UI)

    • A completely redesigned plugin interface, offering improved navigation, a more streamlined setup experience, better organization of settings, and a modern design.

Important: Switching to the new interface is a one-way process. New installations use the new interface by default, while upgrades retain the current interface and can switch at any time via a new Switch to the new WP 2FA Interface setting under General Settings.

  • New Features & functionality

    • Added an Export table as CSV feature in the Reports, allowing administrators to export 2FA status data for analysis and reporting.
  • 改善点

    • The “learn more about backup codes” URL shown on the user profile is now editable via white labeling, allowing brands to replace or remove the default link.
    • Updated the bundled Select2 library to a more recent and secure version.
    • Hardened the shortcode return parameter handling to use proper URL validation instead of strip_tags(), preventing potential URL manipulation.
    • Updated the SSL check to use wp_die() instead of bare exit() calls for safer request termination.
    • Refreshed the install wizard copy across all four slides for clearer, more welcoming language and consistent use of the term “secondary 2FA method” instead of “alternative”.
    • Improved the libxml missing extension notice (required for TOTP method) with a clearer, more actionable message directing users to their hosting provider.
    • Moved the main **2FA code page text* * field to the top of the White Labeling Customize 2FA code page tab,
    • Shortened the default SMS templates on fresh installs to stay under 160 characters, improving deliverability with strict carriers while remaining Twilio-compliant.
    • The verification code input on the 2FA login screen is now auto-focused, so users can start typing their code immediately without clicking into the field.
    • The {login_code} placeholder now also works in email subject lines, not only in the email body.
    • Improved feedback on the 3rd party integrations page: verification modals for Twilio, Clickatell, and all other providers are now consistently styled and show clear error messages when credentials are empty or invalid.
    • Verified 3rd party integration credentials are now automatically saved on successful validation, so they persist after a page refresh.
    • Declared WooCommerce compatibility with HPOS, Cart/Checkout Blocks, and the Product Block Editor, so WP 2FA no longer appears as “uncertain” in the WooCommerce compatibility dashboard.
    • Removed declare(strict_types=1) from all files to improve compatibility with WordPress hooks and prevent intermittent TypeError fatals when filters or actions pass loosely-typed values.
    • Removed a large block of commented-out legacy code from wp-2fa.php for cleaner code and easier maintenance.
    • Fixed inconsistent text domain usage in the deactivation class (was 'textdomain', now correctly uses 'wp-2fa'), ensuring all deactivation strings are translatable.
    • Updated the deactivation feedback form to version 1.1.
    • Refactored the plugin’s licensing architecture to improve maintainability and support future enhancements.
    • Removed the Quick Links feature from the plugin, along with its underlying code.
    • Removed the Survey and Changelog banners from the plugin UI.
    • Removed an obsolete white labeling option under Method selection.
    • Added a check when enabling the “Use custom logo” option: if no logo has been uploaded, a clear error message is now shown pointing to the 2FA code page design settings.
    • Removed the unecessary “Activate free version” button from Premium licensing prompt.
    • Improved custom CSS handling for buttons on the user profile area, so all WP 2FA buttons consistently pick up plugin styling (or the user’s custom CSS overrides) instead of falling back to WordPress defaults inconsistently.
    • Added help text under all subtitles on White Labeling Customize 2FA code page Edit content, providing a short description for each rich-text field.
    • Added missing hint help text on the Customize setup wizard page for the Email (HOTP), Yubico, Clickatell, Twilio, and Authy methods, explaining what the hint field controls during 2FA setup.
    • Added an upgrade modal that explains the benefits of full white labeling when users click locked white labeling options.
    • Passkeys can now be revoked only by the person who generated them instead of other site administrators.
  • Bug fixes

    • Fixed: The WooCommerce /my-account/{2fa-endpoint}/ URL returned a 404 after any rewrite rules flush triggered from an admin request (e.g. saving Settings Permalinks).
    • Optimized performance by removing unnecessary front-end checks for an expired event banner.
    • Fixed: wp_delete_post was being called with a post ID of 0 when saving settings under WordPress 6.9, triggering a _doing_it_wrong() notice and causing 500 errors on sites using Acorn / Sage.
    • Fixed: PHP Deprecated htmlspecialchars(): Passing null to parameter #1 shown inside the SMS template boxes on PHP 8.3 with WordPress 6.9.4+.
    • Fixed: PHP Deprecated Automatic conversion of false to array in the Authy and role settings controller extensions on PHP 8.3 multisite installations.
    • Fixed: PHP Notice Function WP_Scripts::add was called incorrectly. The script with the handle "wp_2fa_yubico" was enqueued with dependencies that are not registered: wp2fa-dialog in WordPress 6.9.1+.
    • Fixed: The Locked user status was not displayed next to a user after their grace period expired and they attempted to log in again.
    • Fixed: Users who configured 2FA voluntarily (without being enforced by a policy) were shown as Configured instead of the correct Configured (but not required) status.
    • Fixed: Users not covered by 2FA enforcement were shown as “User has not logged in yet, 2FA status is unknown” instead of “Not required”.
    • Fixed: Passkeys were always counted as 0 on the Reports page, regardless of how many passkeys had actually been registered.
    • Fixed: Horizontal scrolling caused by the encryption and enforcement dashboard notices when viewing WP 2FA admin pages.
    • Fixed: CSS selectors that started with a number (e.g. #2fa-user-global-configuration) have been renamed to valid, wp-2fa-prefixed selectors for consistency and to work correctly with SCSS/LESS preprocessors.
    • Fixed: The FlyOut remote configuration fetch is now respectful of user preferences, aligning better with WordPress.org compliance expectations.
  • Breaking changes

    • JSON settings exports created in versions earlier than 4.0 cannot be imported to a version 4.0 install. Recreate the settings export using version 4.0.
    • Email template customization is now available as an Enterprise feature. Existing custom email templates will continue to work without interruption.

Refer to the complete plugin changelog for more detailed information about what was new, improved and fixed in previous version updates of WP 2FA.