Parajumpers Jakke pass4sure exams primeprom.com online Nikon Lens Mug

ランディングページもWordPressで作る

ロリポップでWordPress管理画面にログイン出来ない403エラー対処法

久しぶりにロリポップのサーバーにおいてるWordPressで記事投稿しようと思ったらログインページのリンクwp-login.phpへアクセスすると403エラーが出る。

このエラー出たドメイン以外で同じロリポップサーバーにいれてるWordPressも全て同じように403エラーが出る。

WordPressのアクセスエラーの問題はほとんどの場合は.htaccessによるもの

しかし、パーマリンクをデフォルトで設定しているサイトでは.htaccessは生成されない。パーマリンクでURLをデフォルトから変更しているサイトでも同じようにエラーが出る。

  • サーバー内にある10数個の独自ドメイン全てにおいて同じ403エラーが出る。
  • wp-login.php自体はFTP上も間違いなく存在している。

という状況です。

原因はWAF設定か?

WordPressの改竄が増えたせいでロリポップではWAF設定のオンオフが出来るようになりました。以前ヘテムルで管理画面上で403エラーが出たことが合ったがWAF設定をオフにすることで対応できた。

しかし、今回もWAF設定をオフにしてみたが改善されない。

原因は別のところにある。

ロリポップの管理画面にあるFTPアクセス制限が原因

今回の原因はこれだった。

# BEGIN Lolipop
<Files wp-login.php>
Order deny,allow
Deny  from all
Allow from IPADDRESS
</Files>

# END Lolipop

ロリポップ側から書き込んだアクセス制限が.htaccess上に記載されている。

ロリポップの契約は◯◯◯.under.jp とか◯◯◯.lollipop.jpといったロリポのサブドメインによる初期契約がある。

そこに独自ドメインを設定していた場合。FTPでアクセス出来る最上位の階層にある.htaccessに上記のようなWordPressログインファイルへのアクセス制限が設定されていることがある。

※これ、自分で設定したのかな?と記憶をたどるもコメントアウトにlollipopと書かれているのでロリポ側から設定したものだと思えます。(以下にロリポップからの通知も記載)

ロリポップの管理画面にはFTPアクセス制限というものがあります。

ここで設定をすると

.ftpaccessというファイルが生成されて指定のIPアドレスからしかFTPソフトなどでのアクセスができなくなります。

同時に.htaccessにも上記のような書き込みが追加されてしまいます。

WordPressログイン403エラー

ここで自分のIPアドレス以外のアクセスを制限してしまうとSoftBank光などのIPアドレスが変わるインターネット回線契約の場合、ある日突然WordPressにログイン出来ない!という事態に陥るようです。

自分で設定したのを覚えていればすぐに気づくのですが、ある日突然ログインできなくなるので意味不明な403エラーはここもチェックがポイントです。

対処法

FTPで実際にその.htaccessを開いてこの部分

# BEGIN Lolipop
<Files wp-login.php>
Order deny,allow
Deny  from all
Allow from IPADDRESS
</Files>

# END Lolipop

をザクっと削除すればさきほどまでのWordPressログイン時の403エラーでなくなります。

ただし危険です。

攻撃を受けることがあるので。。

攻撃を受けるとロリポップ側で自動的に対策してくれます

平素よりロリポップ!をご利用いただき、

誠にありがとうございます。

この度、「L——-」のご契約で利用されている
WordPress の wp-login.php に対し、複数回のログイン試行が確認されました。

アクセスの内容より、総当たり攻撃や辞書攻撃など、WordPress への
不正なログインを試みるアクセスの可能性が高いと判断されたため
弊社側で .htaccess による wp-login.php へのアクセス制限を実施し、
WordPress ダッシュボードへのログインができないよう対応を行っております

お客様ご自身が WordPress にログインするため、
.htaccess を編集しアクセス制限を解除する必要がございます。

■ ロリポップ!のアカウント
——–

■ .htaccess の設置場所
———

お手数ですが、下記対策マニュアルをご確認いただき対策を
行っていただきますようお願いいたします。

▽ WordPressの.htaccess編集方法
http://lolipop.jp/manual/blog/wp-htaccess/

このようなメールが届きます。

自由にアクセス出来るようにするにはこれでもいいが(やや危険ですが)

セキュリティを考慮して自分や管理者以外のログインを不正に行わせないためにはこの設定も重要ですが自宅やモバイルWi-Fi、会社などさまざまなIPアドレスからブログ更新したりする際はこのような設定も邪魔になるかもです。

この通知が来たサーバーはザクっとIP制限を外してたアカウントです。

やはりまた攻撃を受けていたようでロリポップ側の対応で助かったようです。

安全性を高めるためには.htaccessを編集してIPADDRESSの部分を自分のIPに変更する必要があります。

http://lolipop.jp/manual/blog/wp-htaccess/

このページへ行くと(ロリポップ公式)ご自身のIPと設定方法が自動的に表示されます。

実際にサイト改ざんされた経験もあるのでIP制限はかけておくほうが安全です。

これはすごいテンプレート、、いや、システムです!


簡単操作でランディングページも作成可能なWindows8対応ソフト
WordPressではなくインストール型のソフトをご希望の方へ
こちらアフィリエイト用のLP作成ツールをお探しの方に人気です。
アフィリエイト専用の最強LP&HP作成ソフト
ページを編集しながらボタンやアイコンなどの画像作成も可能です
Return Top