- プラグイン「Invisible reCaptcha for WordPress」を設定したら、ログインできなくなった。
- プラグイン「Wordfence Security – Firewall & Malware Scan」で2段階認証(2FA)を設定したら、ログインできなくなった。
- 2段階認証の画面がすぐに消滅し、2段階認証ができない。
- 何度もログインを試したら、ログイン画面にアクセスできなくなった(画面が真っ白になった)。
- 上記のような症状が出たら、どうすればいい?
という人のために、ログイン(2段階認証)エラー対策を、画像付きで解説します。
1.前提条件・事前準備・参考記事
Wordfenceのインストール、アンインストール、最適な設定方法、使い方は、以下の記事を参考にしてください。
WordPressのセキュリティに関しては、以下を参考にしてください。
- WordPress(サイト)運営者が知るべきサイバー攻撃の種類と対策
- WordPressのおすすめセキュリティ系プラグインを比較した結果【Cocoon】
- Googleアカウントの作成方法(データSIMだけでもOK)
- Wordfenceの(アン)インストール方法と最適な設定方法
- Wordfence Securityの全ての設定方法を3万文字で解説
- WordfenceとGoogle認証システムで2段階認証(2FA)を設定する方法
- Wordfenceの使い方、画面の見方を6万文字で解説
- XO Securityの設定方法
- SiteGuard WP Pluginの設定方法
- BBQ(Block Bad Queries:ブロックバッドクエリ)の設定方法
- Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】
- ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】
- UpdraftPlus(アップドラフトプラス)の設定方法と使い方
2.WordPressにログイン(2段階認証)ができないエラーの症状、原因、対処方法
2-1.ログインができない症状
プラグイン「Invisible reCaptcha for WordPress」を設定した後、または、プラグイン「Wordfence Security – Firewall & Malware Scan」の2段階認証を設定した後、ログインができなくなる場合があります。
症状としては、通常のログインID・パスワードを入力後、2段階認証をしようとすると、すぐに2段階認証の画面が消え、通常のログインID・パスワード入力画面に戻ります。
2段階認証画面の消滅は、時間にして、約0.5秒といったところでしょうか。
仮にすごーく頑張って、コピペを駆使して2段階認証を成功させても、ログインはできません。
そして何度もログインを失敗すると、最終的にあなた(管理人)のIPアドレスがロックアウト(ログインできない状態)されます。
さらに酷くなると、ログイン画面にアクセスしても、画面が真っ白になり、何もできなくなります。
ログインができないとかいう次元じゃなくなるため、かなり焦ります。
2-2.ログインができない原因
なぜ「ログインできない」「画面が真っ白になる」という問題が起こるのか。
2段階認証ができない理由は、Wordfence、Invisible reCaptcha for WordPress、Google reCAPTCHAの仕様が上手く機能していないからです。
ログインできない・画面が真っ白になる理由は、あなたが悪質なユーザーか、bot(人間ではなく不正アクセスをするロボット)だと誤認定されているからです。
他、プラグインの設定によりログインができなくなる要因は、おそらくCookie(クッキー:アクセスの記録)の不具合だと思われます。
その証拠に、本原因の対処として、プラグインのリネーム等をしてWordPressに再度ログインし、プラグインの再リネームをして設定を元に戻せば、その後はWordPressにログインできるようになりました。
そしてブラウザのCookieを削除すると、再度「プラグインのリネーム→WordPressにログイン→再リネーム」が必要になります。
2-3.ログインエラーの対処方法
ロックアウトの判断は、以下の3箇所でされています(この3つを使っている場合)。
最悪、3箇所全てからロックアウト判定を受けます。
手順としては、「1.」を対処→駄目なら「2.」も対処→駄目なら「3.」も対処、というように、「1.」から順に対処すれば、問題は解決するはずです。
もしWordfenceを使っているなら、リネーム操作が怪しい行動ではないと、Wordfenceに学習させましょう。
ロックアウト判定の種類と対処の順番は、以下になります。
- プラグイン:「Invisible reCaptcha for WordPress」に設定されたGoogle reCAPTCHAによる、bot判定。
サーバーからプラグインをリネームすれば、ログインできるようになります。 - プラグイン:「Wordfence Security – Firewall & Malware Scan」「SiteGuard WP Plugin」「XO Security」などの、ログインロック指定回数による判定。
サーバーからプラグインをリネームすれば、ログインできるようになります。
または、プラグインで指定した時間経過でログインできるようになります。 - サーバー:レンタルサーバー(ConoHa WING)のログイン制限による判定。
レンタルサーバーにログインし、ログイン制限を解除すれば再度ログインできるようになります。
または、一定時間(1日程度?)待てばログインできるようになります。
2-4.恒久的な対処方法は、2段階認証を自分だけさせない(スキップする)こと
そもそも、2段階認証をしなければ(2段階認証をスキップする)、ログインエラーにはなりません。
方法としては、対象となるデバイスのIPアドレスを、Wordfenceの2段階認証の対象外にします。
WordfenceでIPアドレスを除外してしまえば、2段階認証そのものが要求されなくなるため、結果としてログインエラーも起こりません。
ただし、そのデバイスを自分だけが使うという前提です。共用PCなどの場合はお勧めできません。
また、デバイスごとにIPアドレスの設定が必要です。
2段階認証スキップの他にも、エラーを回避する方法はあります。例えば以下。
でもプラグインによる保護の無効化をすると、せっかくのGoogle reCAPTCHAの機能が使えないことになります。
せっかくならプラグインでの保護もしたいですよね。
なので、ログインエラーの恒久的な対処方法は、2段階認証スキップが最適解です。
では、具体的な対処方法を説明します。
3.プラグインのリネームによる対処方法
3-1.プラグインをリネームするお勧めの順番
どのプラグインからリネームするべきか?は、以下の順番がお勧めです。
「1.」をリネームしてログイン→駄目なら「2.」もリネームしてログイン→駄目なら「3.」もリネームしてログイン、というように、「1.」から順に対処します。
- 「Invisible reCaptcha for WordPress」:リネームにより、bot判定を解除
- 「Wordfence Security – Firewall & Malware Scan」:リネームにより、ブルートフォースアタック(総当たり攻撃)対策のログインロックを解除
- 「SiteGuard WP Plugin」または「XO Security」:リネームにより、ブルートフォースアタック(総当たり攻撃)対策のログインロックを解除
3-2.プラグインのリネーム方法
プラグインをレンタルサーバーでリネームすれば、再度ログインできるようになります。
プラグインのリネームは、FTPソフトを使ってもできます。
WordPressにログインせずにプラグイン(例:Invisible reCaptcha for WordPress)を一時停止する手順(レンタルサーバー:ConoHa WING経由)は、以下になります。
- レンタルサーバー「ConoHa WING」にログインする
- 「ファイルマネージャー」にアクセスする
- 「/WordPressサイトのドキュメントルート/wp-content/plugins/」フォルダに移動する
- 一時停止したいプラグインのフォルダ名「invisible-recaptcha」の名前を「_invisible-recaptcha」に変更する
これで、プラグインが停止しました。WordPressにログインできます。
一時停止したプラグインを復旧する手順は、以下になります。
- プラグイン「Invisible reCaptcha for WordPress」が一時停止したら、WordPressにログインする
- WordPressにログインしたら、レンタルサーバー「ConoHa WING」で、先程変更したプラグインのフォルダ名「_invisible-recaptcha」を元の「invisible-recaptcha」に戻す
- WordPressで、「インストール済のプラグイン」画面の該当プラグイン「Invisible reCaptcha for WordPress」を「有効化」する
画像付きの解説は、以下の記事を参考にしてください。
WordPressにログインせずにプラグイン・テーマを無効化する方法(一時停止→復旧も含む)
3-3.プラグインのリネーム中の操作をWordfenceにエラー認定させない
Wordfenceを使っている場合、リネーム操作中、Wordfenceのファイアウォール設定を「学習モード」にしておくと、Wordfenceのファイアウォールにエラー認定(誤検知)されなくなります。
プラグインをリネームして停止させ、WordPressにログインした後、Wordfenceのファイアウォールを「学習モードに」します。
その後、プラグインを再リネームすればOK。
Wordfenceのファイアウォールを「学習モード」にする方法は、以下の記事を参考にしてください。
Wordfenceの(アン)インストール方法と最適な設定方法
4.レンタルサーバー(ConoHa WING)でログイン制限を解除する方法
画面が真っ白になるなど、そもそもログイン画面にアクセスできない場合は、レンタルサーバーでログイン制限がかけられています。
通常、数時間から1日程度待てばログイン制限は解除されます。
が、すぐにログインしたい場合は、レンタルサーバーでログイン制限の解除をします。
ここでは、ConoHa WINGでのログイン制限解除方法を説明します。
4-1.ConoHa WINGにログインする
まず、「ConoHa WING」の公式サイトにアクセスします。
>>「ConoHa WING(コノハウィング)」公式サイト
- 「ConoHa WING」の公式サイトのトップ画面右上「ログイン」をクリックします。すると、「ログイン」画面になります。
- ConoHa WINGに申し込み時の「メールアドレス」「パスワード」を入力したら、「ログイン」をクリックします。
- スパム確認のため画像認証を求められた場合は、「指定された画像」を全て選択し、「確認」をクリックします。
ConoHa WINGのログイン方法は以下の記事でも解説しています。
ConoHa WING(コノハウィング)にログインする方法
4-2.レンタルサーバーによる「管理画面ログイン制限」を解除する
「ConoHa WING」の「ログイン」画面で「ログイン」をクリックすると、「ConoHa WING」の管理画面トップになります。
- 上部のタブ「WING」を選択します。
- 管理メニュー上から2個目「サイト管理」をクリックします。
- サイトメニューの上「切り替え」をクリックして、対象のサイトを選択します。
- サイトメニュー上から2個目「サイトセキュリティ」をクリックします。すると、右側が「サイトセキュリティ」画面になります。
- 上部のタブ左から5個目「WordPressセキュリティ」をクリックします。
- 1個目「ログイン制限」をクリックします。
- 「管理画面ログイン」の「OFF」を選択します。
これで、WordPressのログイン画面にアクセスできるようになりました。
WordPressにログインしたら、再度「管理画面ログイン」の「ON」を選択し、元に戻します。
5.Wordfenceの2段階認証を、自分だけしない(スキップする)方法
WordPressにログイン>管理メニュー「Wordfence」>5個目「Login Security」>上部タブ左から2個目「Settings」>「Login Security Settings」画面にアクセスします。
- Allowlisted IP addresses that bypass 2FA(2FAを回避する許可リストに記載されたIPアドレス)(旧表示:Whitelisted IP addresses that bypass 2FA(2FAを回避するホワイトリストIPアドレス))に、対象とするデバイスのIPアドレスを入力します。
複数入力する場合、入力するIPアドレスは、1行につき1つです。 - 全て入力・操作したら、「SAVE」をクリックします。
これで、対象となるデバイスは2段階認証を要求されなくなり、ログインエラーも発生しません。
デバイスのIPアドレスは、「Two-Factor Authentication」画面の最下部に、「Detected IP: デバイスのIPアドレス」があります。
または、以下のサイトでもデバイスのIPアドレスを確認できます。
あなたが現在インターネットに接続しているグローバルIPアドレス確認
6.まとめ
WordPressにログインできなくなっても、慌てずに、プラグインをリネームして停止させれば、再ログインできます。
プラグインだけではなく、テーマなども、フォルダをリネームすれば、そのフォルダは停止します。
何かトラブルがあった際は、このリネームを有効活用すると良いですね。