ワードプレスのセキュリティープラグインで2FAなどを導入して自分自身でログインできなくなった場合の対処方法について解説いたします。
この記事の目次
セキュリティープラグインの導入で自身がログインから弾かれてしまいログインできなくなった場合
セキュリティープラグインで、ツーファクターオーセンテーション(2FA)の導入や、ログインロックダウン、管理画面のURL変更などを行うと、何度かログインが失敗してIPが弾かれてしまったり、ログイン画面のURLが分からなくなって自身でログインができなくなってしまう場合がございます。
※ログインロックダウンではじかれてしまった場合はセキュリティープラグインの制限期間設定によっては数時間で再度ログインできるようになる場合がございます
この場合の再度ログインできるようになる対処方法について2つ解説いたします。
1 データベースの情報を書き換える
セキュリティープラグインの設定は多くの場合データベースに書き込まれています。
Adminer等のデータベース閲覧ソフトウェアをサーバーにアップロードして、wp-config.phpに記載してあるデータベース接続情報をもとにデータベースに接続し下記のような方法で設定の内容を閲覧したり、変更したりします。
・データベースのログインURL変更先を調べる
ログインURLが分からなくなった場合は、wp_optionテーブルに変更先URLが記録されている場合が多い為、wp_optionテーブルのoption_nameやoption_value列をlogin等の文字列で検索して、該当のレコードを探します。
・ログインロックダウンのIPを書き換える
ログインロックダウンをその対象のIPアドレスの記録を書き換えることで解除できる場合がございます。ご自身のIPを調べ、このIPでwp-optionテーブルや、セキュリティープラグインが作るデータベースのテーブルを検索してロックダウン系のIPの記録かどうか確認いただいた上で、データベースに記録されているIPの数字を一つ変えるなどしてログインロックダウンを回避できるようにします。
2 プラグインを無効化する
もっと簡単な方法として、該当のセキュリティープラグインを一時的に無効化して、ログインし、ログイン後に再度プラグインを有効化してセキュリティープラグインの設定等を書き換えるという方法もございます。
FTPソフトウェアでサーバーに接続いただき、wp-content/plugins/該当のセキュリティプラグイン のフォルダ名に_をつけるなどしてリネームしますと、そのプラグインが無効化されログインできるようになる場合がございます。
ワードプレスのデフォルトログインURL
https://ワードプレスのURL/wp-login.php
※セキュリティープラグインによってはフォルダのリネームでファイルの読み込み不全が引き起こされ、サイト全体がアクセスできなくなるなどの複雑な構造になっている物もございます。この場合はフォルダ名を元に戻し、ファイルの関連性を調べて上でプラグインを非有効化する必要がございます。
ワードプレスのログイン画面を強化する必要がある?
そもそもワードプレスのログイン画面を2FA等で強化する必要が無い可能性が高いです。
・ワードプレスのハッキングが成功する原因の6~7割はプラグインの脆弱性です
・ログインパスワードが強力な場合は論理上総当たりのブルートフォースアタックで管理者権限でハッカーがログインできてしまう見込みはなく、ログイン画面を強化する必要はあまりありません
(ログイン画面のURL変更やログインロックダウンはブルートフォースアタックによるサーバーの過負荷を抑制するという意味はございます)
この為、2FAやログイン画面のURL変更、ログインロックダウンよりまずは管理者権限のパスワードを12文字以上の半角英数記号を含むランダムな文字列にしていただき、強化していただくことが先決かと考えられます。
マルウェア検査もできるセキュリティープラグインのダウンロードはこちらから
