ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】

この記事は約11分で読めます。
今回の疑問点
  • プラグイン「Invisible reCaptcha for WordPress」を設定したら、ログインできなくなった。
  • プラグイン「Wordfence Security – Firewall & Malware Scan」で2段階認証(2FA)を設定したら、ログインできなくなった。
  • 2段階認証の画面がすぐに消滅し、2段階認証ができない。
  • 何度もログインを試したら、ログイン画面にアクセスできなくなった(画面が真っ白になった)。
  • 上記のような症状が出たら、どうすればいい?

という人のために、ログイン(2段階認証)エラー対策を、画像付きで解説します。

1.前提条件・事前準備・参考記事

Wordfenceのインストール、アンインストール、最適な設定方法、使い方は、以下の記事を参考にしてください。

WordPressのセキュリティに関しては、以下を参考にしてください。

2.WordPressにログイン(2段階認証)ができないエラーの症状、原因、対処方法

2-1.ログインができない症状

プラグイン「Invisible reCaptcha for WordPress」を設定した後、または、プラグイン「Wordfence Security – Firewall & Malware Scan」の2段階認証を設定した後、ログインができなくなる場合があります。

症状としては、通常のログインID・パスワードを入力後、2段階認証をしようとすると、すぐに2段階認証の画面が消え、通常のログインID・パスワード入力画面に戻ります。
2段階認証画面の消滅は、時間にして、約0.5秒といったところでしょうか。

仮にすごーく頑張って、コピペを駆使して2段階認証を成功させても、ログインはできません。
そして何度もログインを失敗すると、最終的にあなた(管理人)のIPアドレスがロックアウト(ログインできない状態)されます。
さらに酷くなると、ログイン画面にアクセスしても、画面が真っ白になり、何もできなくなります。
ログインができないとかいう次元じゃなくなるため、かなり焦ります。

2-2.ログインができない原因

なぜ「ログインできない」「画面が真っ白になる」という問題が起こるのか。
2段階認証ができない理由は、Wordfence、Invisible reCaptcha for WordPress、Google reCAPTCHAの仕様が上手く機能していないからです。
ログインできない・画面が真っ白になる理由は、あなたが悪質なユーザーか、bot(人間ではなく不正アクセスをするロボット)だと誤認定されているからです。

他、プラグインの設定によりログインができなくなる要因は、おそらくCookie(クッキー:アクセスの記録)の不具合だと思われます。
その証拠に、本原因の対処として、プラグインのリネーム等をしてWordPressに再度ログインし、プラグインの再リネームをして設定を元に戻せば、その後はWordPressにログインできるようになりました。
そしてブラウザのCookieを削除すると、再度「プラグインのリネーム→WordPressにログイン→再リネーム」が必要になります。

2-3.ログインエラーの対処方法

ロックアウトの判断は、以下の3箇所でされています(この3つを使っている場合)。
最悪、3箇所全てからロックアウト判定を受けます。
手順としては、「1.」を対処→駄目なら「2.」も対処→駄目なら「3.」も対処、というように、「1.」から順に対処すれば、問題は解決するはずです。
もしWordfenceを使っているなら、リネーム操作が怪しい行動ではないと、Wordfenceに学習させましょう。

ロックアウト判定の種類と対処の順番は、以下になります。

  1. プラグイン:「Invisible reCaptcha for WordPress」に設定されたGoogle reCAPTCHAによる、bot判定。
    サーバーからプラグインをリネームすれば、ログインできるようになります。
  2. プラグイン:「Wordfence Security – Firewall & Malware Scan」「SiteGuard WP Plugin」「XO Security」などの、ログインロック指定回数による判定。
    サーバーからプラグインをリネームすれば、ログインできるようになります。
    または、プラグインで指定した時間経過でログインできるようになります。
  3. サーバー:レンタルサーバー(ConoHa WING)のログイン制限による判定。
    レンタルサーバーにログインし、ログイン制限を解除すれば再度ログインできるようになります。
    または、一定時間(1日程度?)待てばログインできるようになります。

2-4.恒久的な対処方法は、2段階認証を自分だけさせない(スキップする)こと

そもそも、2段階認証をしなければ(2段階認証をスキップする)、ログインエラーにはなりません。

方法としては、対象となるデバイスのIPアドレスを、Wordfenceの2段階認証の対象外にします。
WordfenceでIPアドレスを除外してしまえば、2段階認証そのものが要求されなくなるため、結果としてログインエラーも起こりません。

ただし、そのデバイスを自分だけが使うという前提です。共用PCなどの場合はお勧めできません。
また、デバイスごとにIPアドレスの設定が必要です。

2段階認証スキップの他にも、エラーを回避する方法はあります。例えば以下。

  • プラグイン「Invisible reCaptcha for WordPress」のログイン保護を無効化する
  • プラグイン「Invisible reCaptcha for WordPress」の「reCAPTCHA ソリューションの入手元を検証する」のチェックを外す

でもプラグインによる保護の無効化をすると、せっかくのGoogle reCAPTCHAの機能が使えないことになります。
せっかくならプラグインでの保護もしたいですよね。
なので、ログインエラーの恒久的な対処方法は、2段階認証スキップが最適解です。

では、具体的な対処方法を説明します。

3.プラグインのリネームによる対処方法

3-1.プラグインをリネームするお勧めの順番

どのプラグインからリネームするべきか?は、以下の順番がお勧めです。
「1.」をリネームしてログイン→駄目なら「2.」もリネームしてログイン→駄目なら「3.」もリネームしてログイン、というように、「1.」から順に対処します。

  1. 「Invisible reCaptcha for WordPress」:リネームにより、bot判定を解除
  2. 「Wordfence Security – Firewall & Malware Scan」:リネームにより、ブルートフォースアタック(総当たり攻撃)対策のログインロックを解除
  3. 「SiteGuard WP Plugin」または「XO Security」:リネームにより、ブルートフォースアタック(総当たり攻撃)対策のログインロックを解除

3-2.プラグインのリネーム方法

プラグインをレンタルサーバーでリネームすれば、再度ログインできるようになります。
プラグインのリネームは、FTPソフトを使ってもできます。

WordPressにログインせずにプラグイン(例:Invisible reCaptcha for WordPress)を一時停止する手順(レンタルサーバー:ConoHa WING経由)は、以下になります。

  1. レンタルサーバー「ConoHa WING」にログインする
  2. 「ファイルマネージャー」にアクセスする
  3. 「/WordPressサイトのドキュメントルート/wp-content/plugins/」フォルダに移動する
  4. 一時停止したいプラグインのフォルダ名「invisible-recaptcha」の名前を「_invisible-recaptcha」に変更する
    これで、プラグインが停止しました。WordPressにログインできます。

一時停止したプラグインを復旧する手順は、以下になります。

  1. プラグイン「Invisible reCaptcha for WordPress」が一時停止したら、WordPressにログインする
  2. WordPressにログインしたら、レンタルサーバー「ConoHa WING」で、先程変更したプラグインのフォルダ名「_invisible-recaptcha」を元の「invisible-recaptcha」に戻す
  3. WordPressで、「インストール済のプラグイン」画面の該当プラグイン「Invisible reCaptcha for WordPress」を「有効化」する

画像付きの解説は、以下の記事を参考にしてください。
WordPressにログインせずにプラグイン・テーマを無効化する方法(一時停止→復旧も含む)

3-3.プラグインのリネーム中の操作をWordfenceにエラー認定させない

Wordfenceを使っている場合、リネーム操作中、Wordfenceのファイアウォール設定を「学習モード」にしておくと、Wordfenceのファイアウォールにエラー認定(誤検知)されなくなります。

プラグインをリネームして停止させ、WordPressにログインした後、Wordfenceのファイアウォールを「学習モードに」します。
その後、プラグインを再リネームすればOK。

Wordfenceのファイアウォールを「学習モード」にする方法は、以下の記事を参考にしてください。
Wordfenceの(アン)インストール方法と最適な設定方法

4.レンタルサーバー(ConoHa WING)でログイン制限を解除する方法

画面が真っ白になるなど、そもそもログイン画面にアクセスできない場合は、レンタルサーバーでログイン制限がかけられています。
通常、数時間から1日程度待てばログイン制限は解除されます。
が、すぐにログインしたい場合は、レンタルサーバーでログイン制限の解除をします。
ここでは、ConoHa WINGでのログイン制限解除方法を説明します。

4-1.ConoHa WINGにログインする

まず、「ConoHa WING」の公式サイトにアクセスします。
>>「ConoHa WING(コノハウィング)」公式サイト

  1. ConoHa WING」の公式サイトのトップ画面右上「ログイン」をクリックします。すると、「ログイン」画面になります。
  2. ConoHa WINGに申し込み時の「メールアドレス」「パスワード」を入力したら、「ログイン」をクリックします。
  3. スパム確認のため画像認証を求められた場合は、「指定された画像」を全て選択し、「確認」をクリックします。

ConoHa WINGのログイン方法は以下の記事でも解説しています。
ConoHa WING(コノハウィング)にログインする方法

4-2.レンタルサーバーによる「管理画面ログイン制限」を解除する

「ConoHa WING」の「ログイン」画面で「ログイン」をクリックすると、「ConoHa WING」の管理画面トップになります。

  1. 上部のタブ「WING」を選択します。
  2. 管理メニュー上から2個目「サイト管理」をクリックします。
  3. サイトメニューの上「切り替え」をクリックして、対象のサイトを選択します。
  4. サイトメニュー上から2個目「サイトセキュリティ」をクリックします。すると、右側が「サイトセキュリティ」画面になります。
  5. 上部のタブ左から5個目「WordPressセキュリティ」をクリックします。
  6. 1個目「ログイン制限」をクリックします。
  7. 「管理画面ログイン」の「OFF」を選択します。
    これで、WordPressのログイン画面にアクセスできるようになりました。
    WordPressにログインしたら、再度「管理画面ログイン」の「ON」を選択し、元に戻します。

5.Wordfenceの2段階認証を、自分だけしない(スキップする)方法

WordPressにログイン>管理メニュー「Wordfence」>5個目「Login Security」>上部タブ左から2個目「Settings」>「Login Security Settings」画面にアクセスします。

  1. Allowlisted IP addresses that bypass 2FA(2FAを回避する許可リストに記載されたIPアドレス)(旧表示:Whitelisted IP addresses that bypass 2FA(2FAを回避するホワイトリストIPアドレス))に、対象とするデバイスのIPアドレスを入力します。
    複数入力する場合、入力するIPアドレスは、1行につき1つです。
  2. 全て入力・操作したら、「SAVE」をクリックします。
    これで、対象となるデバイスは2段階認証を要求されなくなり、ログインエラーも発生しません。

デバイスのIPアドレスは、「Two-Factor Authentication」画面の最下部に、「Detected IP: デバイスのIPアドレス」があります。
または、以下のサイトでもデバイスのIPアドレスを確認できます。
あなたが現在インターネットに接続しているグローバルIPアドレス確認

6.まとめ

WordPressにログインできなくなっても、慌てずに、プラグインをリネームして停止させれば、再ログインできます。
プラグインだけではなく、テーマなども、フォルダをリネームすれば、そのフォルダは停止します。
何かトラブルがあった際は、このリネームを有効活用すると良いですね。

タイトルとURLをコピーしました