【ITニュース解説】Building AuthPress: From Simple Telegram 2FA to Extensible WordPress Security Platform

現在、多くのウェブサイトはWordPressというシステムで動いているが、そのセキュリティには課題がある。多くのサイトが、ユーザー名とパスワードだけで認証を行っており、これはサイバー攻撃に対して脆弱な状態だ。不正ログインを防御するためには、パスワードだけでなく、別の方法で本人確認を行う「二段階認証（2FA）」が非常に有効である。しかし、既存の二段階認証プラグインは、特定のサービス（プロバイダ）にしか対応していなかったり、開発者が自由に機能を追加したりカスタマイズしたりするのが難しかったり、最新の認証技術に対応していなかったりする問題点があった。

このような状況の中、AuthPressというプロジェクトは「WordPressの二段階認証コードを、日常的に使っているTelegramというチャットアプリで受け取れたら便利ではないか」というシンプルなアイデアから始まった。このアイデアは、約3年間の開発と試行錯誤を経て、単なるTelegram連携の二段階認証から、多様な認証方法に対応できる包括的なセキュリティプラットフォームへと大きく進化した。

AuthPressのバージョン4.0では、その拡張性が大きな特徴となっている。これは、複数の認証プロバイダをサポートするための「クリーンなアーキテクチャ」が採用されたことによる。具体的には、Abstract_Providerという「抽象クラス」が導入された。抽象クラスとは、実際の具体的な処理は持たないものの、「どのような機能が必要か」という設計の骨組みだけを定めたものだ。AuthPressでは、この抽象クラスに「認証コードを送る」「認証コードを検証する」「ユーザーが認証設定を行う画面を表示する」といった共通の操作をメソッドとして定義している。そして、WordPressの「フック」という仕組みを使って、開発者が独自の認証プロバイダを簡単に追加できるようにした。例えば、SMS送信サービスを使ったり、プッシュ通知アプリを使ったりする新しい認証方法も、この抽象クラスを基に作成し、WordPressに登録するだけで利用できるようになるのだ。

AuthPressは、技術的な面でも多くの工夫が凝らされている。そのコアとなる機能は、Telegram、メール、TOTP（時間ベースのワンタイムパスワード）、そしてリカバリーコードといった複数の認証プロバイダに対応していることだ。また、開発者が新しい認証方法を簡単に追加できるように、明確なインターフェース（API）を備えた拡張性の高いシステムとなっている。システムの動作状況を詳細に記録するためのロギング機能も充実しており、WordPressの標準的な管理画面でログを確認できる。そして何よりも、セキュリティが最優先されている。不正なログイン試行を防ぐための回数制限（レートリミット）、認証情報を安全に保管するための暗号化、ブルートフォース攻撃（総当たり攻撃）からの保護といった機能が、最初から組み込まれている。

AuthPressの「プロバイダシステム」は、それぞれの認証方法を一つのクラスとして扱う。例えば、Telegramを使った認証であればTelegram_Providerというクラスが担当する。このクラスは、前述の抽象クラスAbstract_Providerの設計に従い、send_codeメソッドでTelegram APIを呼び出して認証コードをユーザーに送り、verify_codeメソッドでユーザーが入力したコードが正しいかを確認し、render_user_settingsメソッドでユーザーがTelegram認証を設定するための画面を表示する。

開発者にとってAuthPressは非常に使いやすい設計になっている。例えば、TwilioというSMS送信サービスを使って新しいSMS認証プロバイダを作りたい場合、Abstract_Providerを継承したTwilio_SMS_Providerというクラスを作成するだけでよい。send_codeメソッドの中でTwilioのAPIを呼び出してSMSを送信する処理を記述し、コードの検証は既存の共通処理を再利用できる。このように、必要最小限の記述で新しい認証方法を追加できるため、開発の効率が非常に高い。

WordPressとの統合もスムーズだ。AuthPressはWordPressの標準的な開発手法に沿って作られており、WordPressの「フック」や「フィルター」といった仕組みを最大限に活用している。これにより、他のWordPressプラグインとの互換性も高く、既存のWordPress環境に自然に溶け込む。セキュリティ対策として「ノンス検証」を適切に実施し、管理画面のインターフェースには「WP_List_Table」というWordPress標準のコンポーネントを使用するなど、WordPressのコーディング規約にも完全に準拠している。

AuthPressは現在も進化を続けており、将来に向けて様々な新機能が計画されている。特に注目されているのは、パスキー（Passkey）やWebAuthnと呼ばれる次世代の認証技術の統合だ。これはすでにベータ版として開発が進んでいる。さらに、YubiKeyのような物理的なハードウェアトークンを使った認証のサポートも予定されている。

AuthPressはオープンソースプロジェクトとして公開されており、誰でも自由に利用したり、開発に貢献したりできる。GPLライセンスの下、WordPressの公式プラグインディレクトリやGitHubでコードが提供されている。新しい認証プロバイダの実装、セキュリティの監査、ドキュメントの改善、多言語対応のための翻訳など、様々な形でのコミュニティからの貢献が歓迎されている。

このAuthPressの開発から得られた教訓は、システム開発において非常に重要なものばかりだ。まず、「最初はシンプルに始めて、将来の成長を見越して設計する」ことの重要性だ。拡張性のある設計を最初から採用したことで、後から大幅な修正（リファクタリング）を行う手間が省けた。次に、「セキュリティは後回しにせず、最初から設計に組み込む」べきだという点だ。セキュリティ機能が最初から考慮されていたことで、堅牢なシステムが構築できた。さらに、「開発者にとっての使いやすさ（開発者体験）も重要だ」ということも学んだ。クリーンで分かりやすいAPIを提供することで、多くの開発者がAuthPressの機能を利用したり、拡張したりするエコシステムが形成された。そして、「WordPressの標準的なルールに従って開発することには、やはり理由がある」ということも明らかになった。標準に則ることで、開発プロセスがスムーズになり、安定したシステム構築につながった。

AuthPressは、WordPressサイトのセキュリティを向上させたいすべてのユーザー、そして新しい認証システムを開発したいすべてのエンジニアにとって、非常に価値のあるプロジェクトだ。ぜひ自分のWordPressサイトでAuthPressを試してみて、どのようなカスタムプロバイダを作ってみたいか、アイデアを共有してほしい。その拡張性があれば、どんな認証サービスとも連携できるだろう。次にどんな二段階認証方法が欲しいか、コメントで意見を出すことも歓迎される。