WP管理画面にログインできない-All in ONE WP Security使用ならこれが原因かも
ワードプレスの管理画面にログインできなくなることは、そう珍しくもないことのようで、検索すれば解決方法を教えてくれるページがたくさんあります。
先日うちでもその現象が起きたので、検索して出てくることを順にやってみましたが…
相変わらずログインできないままでした。
おかしくなったらプラグインを疑うのがWPの基本。
原因はAll in ONE WP Security & Firewallでした。
と言ってもプラグインの不具合ではなく私が変な設定をしていたからなんですけどね。
Contents
ワードプレスにログインできなくなった
ここでお話しするケースがどんな状況だったのかをまずはっきりさせておきますね。
前提:All in One WP Security & Firewallを使っている。
ワードプレスの管理画面からいつのまにかログアウトしていたのに気づいて、再ログインしようと、アドレスバーにログイン用のURLを入れたところ…
403エラーが表示されてしまいます。
???
仕方なく、検索したページに書かれた対処法を全部試しましたが状況は変わらず…
FTPソフトからAll in One WP Security & Firewallを削除してみると…
難なくログインできるようになりました。
つまり以下に書くことは、プラグインAll in One WP Security & Firewallを使っている人にだけお役に立てるかもしれない話です。
FTPからAll in One WP Security & Firewallを削除
ワードプレスにログインできなくなってメジャーな対処法は全ダメと言う人で、このプラグインを使っている人は、試しに削除してみてください。
プラグインを削除
プラグインのありかは、
FTPのリモートの
ドメインディレクトリの public_html/wp-content/plugins の中です。
「all-in-one-wp-security-and-firewall」を削除しますが、念のためディレクトリごとPCにバックアップしてください。
「all-in-one-wp-security-and-firewall」を右クリックしてDeleleします。
もう一度ワードプレスにログインしてみる
「all-in one-wp-security-and-firewall」を削除した状態で再ログインしてみてください。
入れたら、原因はこのプラグインです。
これでも入れなかったら別の原因か、別のことも原因しているということです。
ここでは他の原因については説明していないので、別の情報を探してみてください。
All in One WP Security & Firewallの設定見直し
プラグインは使いたいのですが、入れるとまた同じことが起きるのか、それとも設定を変えたら解決するのか究明するために、All in one WP securityを再インストールしてみました。
以前の設定はそのまま残っています。
ずっと前から同じ設定だったはずですが、なぜ突然ログインできなくなったのか…
あちこち見ているとBrute Force対策の設定が目につきました。
All in One WP Security & Firewallを再インストール
プラグインを削除した時にとっておいたバックアップをもう一度元の場所にアップしてもいいですが、WP管理画面からインストールする方が楽でしょう。
原因はLogin Whitelist
私の経験したケースでは、「Login Whitelist」の設定が問題でした。
Login Whitelistは、特定のIPからだけログインできるように指示する機能です。
深く考えずにここをその時のIPアドレスのみログイン可能と設定したのでしょう。
ところが、我が家のIPが勝手に変わっていたのでした。
固定IPでもないのになぜここをオンにしたのか…うっかりしました。
限定ログインに指定したIPと違うからログインできず、「あんた権限ないよ」と言う403ページに飛ばされていたのですね。
WP管理画面にログインできなくなった人の中で、All in One WP Security & Firewallを使ってる人は、知らないうちにIPが変わっているかもしれません。
ここを確認してみてください。
Login Whitelist確認手順
WP管理画面メニューの中に「WP Security」という項目ができています。
それがAll In One WP Security & Firewallです。
「WP Security」から「Brute Force」を選択します。
Brute Forceの「Login Whitelist」タブへ
私と同じ現象(ログインしようとすると403に飛ばされる)が起きた方の「Login IP Whitelist Setting」は、この↓状態になっている可能性が高いと思います。
上の「Your Current IP Address」が今現在のIP、
下の「Enter Whitelisted IP Addresses」がログインを許可するIPです。
知らずにIPが変わっていた場合は、上と下のIPアドレスが違っています。
対応1:Enter Whitelisted IP Addressesを現在のIPに書き換える
ホワイトリストするIPを現在のIPに変えます。
今のIPは「Your Current IP Address」に出ているので、それをコピーすればOKです。
上下を同じにしたら「Save Setting」
これで今までと同じようにログインできるはずです。
対応2:ホワイトリストを使わない
ログインIPの限定をしない
ホワイトリストを最初から設定しないことにする場合は、Enable IP Whitelisting: のチェックをはずして、下の「Save Setting」を押します。
これで家のIPが変わってもログインに差し支えることはなくなりましたが、今は、どのIPからでもログインが可能な状態です。
もちろんログインにはIDとパスワードが必要ですが、ブルートフォールアタック(総当たり攻撃)を仕掛けられると、いつかは破られてしまいます。
セキュリティ的にまずいので、IPのホワイトリストを使わないなら、ログインのURLを変更するのをおすすめします。
ログインURLを変更する
ワードプレスのログインURLは、「https://〇〇〇.com/wp-login.php」と決まっています。
サイトのURLが分かればログインするURLも分かるということです。
これを「https://〇〇〇.com/任意の文字列」に変更しておけば、良からぬ奴がログイン画面にアクセスすること自体がかなり困難になります。
ログインURLを変更するには、
同じ「Brute Force」のページの「Rename Login Page」タブを選択して
「Rename Login Page Setting」の「Enable Rename Login Page Feature」にチェックマークを入れて
「Login Page URL」に表示されている自サイトトップぺージのURLのスラッシュ(/)の後に好きな文字列を入力してください。
これが今後のログインURLになります。
ログインURLを作ったら必ず新しいURLをどこかにコピーしておいてください。
URLが分からなくなるとログインできなくなって、またFTPでプラグイン削除をすることになっちゃいます。
確認して下の「Save Setting」
次回のログインからは今指定した新しいURLを使うことになります。