ロリポップでWordPress管理画面にログイン出来ない403エラー対処法

久しぶりにロリポップのサーバーにおいてるWordPressで記事投稿しようと思ったらログインページのリンクwp-login.phpへアクセスすると403エラーが出る。

このエラー出たドメイン以外で同じロリポップサーバーにいれてるWordPressも全て同じように403エラーが出る。

1 WordPressのアクセスエラーの問題はほとんどの場合は.htaccessによるもの
2 原因はWAF設定か？
3 ロリポップの管理画面にあるFTPアクセス制限が原因
- 3.1 ロリポップの管理画面にはFTPアクセス制限というものがあります。
4 対処法
5 攻撃を受けるとロリポップ側で自動的に対策してくれます
- 5.1 自由にアクセス出来るようにするにはこれでもいいが（やや危険ですが）

WordPressのアクセスエラーの問題はほとんどの場合は.htaccessによるもの

しかし、パーマリンクをデフォルトで設定しているサイトでは.htaccessは生成されない。パーマリンクでURLをデフォルトから変更しているサイトでも同じようにエラーが出る。

サーバー内にある10数個の独自ドメイン全てにおいて同じ403エラーが出る。
wp-login.php自体はFTP上も間違いなく存在している。

という状況です。

原因はWAF設定か？

WordPressの改竄が増えたせいでロリポップではWAF設定のオンオフが出来るようになりました。以前ヘテムルで管理画面上で403エラーが出たことが合ったがWAF設定をオフにすることで対応できた。

しかし、今回もWAF設定をオフにしてみたが改善されない。

原因は別のところにある。

ロリポップの管理画面にあるFTPアクセス制限が原因

今回の原因はこれだった。

# BEGIN Lolipop
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from IPADDRESS
</Files>

# END Lolipop

ロリポップ側から書き込んだアクセス制限が.htaccess上に記載されている。

ロリポップの契約は◯◯◯.under.jp　とか◯◯◯.lollipop.jpといったロリポのサブドメインによる初期契約がある。

そこに独自ドメインを設定していた場合。FTPでアクセス出来る最上位の階層にある.htaccessに上記のようなWordPressログインファイルへのアクセス制限が設定されていることがある。

※これ、自分で設定したのかな？と記憶をたどるもコメントアウトにlollipopと書かれているのでロリポ側から設定したものだと思えます。（以下にロリポップからの通知も記載）

ロリポップの管理画面にはFTPアクセス制限というものがあります。

ここで設定をすると

.ftpaccessというファイルが生成されて指定のIPアドレスからしかFTPソフトなどでのアクセスができなくなります。

同時に.htaccessにも上記のような書き込みが追加されてしまいます。

ここで自分のIPアドレス以外のアクセスを制限してしまうとSoftBank光などのIPアドレスが変わるインターネット回線契約の場合、ある日突然WordPressにログイン出来ない！という事態に陥るようです。

自分で設定したのを覚えていればすぐに気づくのですが、ある日突然ログインできなくなるので意味不明な403エラーはここもチェックがポイントです。

対処法

FTPで実際にその.htaccessを開いてこの部分

# BEGIN Lolipop
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from IPADDRESS
</Files>

# END Lolipop

をザクっと削除すればさきほどまでのWordPressログイン時の403エラーでなくなります。

ただし危険です。

攻撃を受けることがあるので。。

攻撃を受けるとロリポップ側で自動的に対策してくれます

平素よりロリポップ！をご利用いただき、

誠にありがとうございます。

この度、「L——-」のご契約で利用されている
WordPress の wp-login.php に対し、複数回のログイン試行が確認されました。

アクセスの内容より、総当たり攻撃や辞書攻撃など、WordPress への
不正なログインを試みるアクセスの可能性が高いと判断されたため、
弊社側で .htaccess による wp-login.php へのアクセス制限を実施し、
WordPress ダッシュボードへのログインができないよう対応を行っております。

お客様ご自身が WordPress にログインするため、
.htaccess を編集しアクセス制限を解除する必要がございます。

■ ロリポップ！のアカウント
——–

■ .htaccess の設置場所
———

お手数ですが、下記対策マニュアルをご確認いただき対策を
行っていただきますようお願いいたします。

▽ WordPressの.htaccess編集方法

ロリポップ！レンタルサーバー
【WordPress利用満足度No.1】のレンタルサーバー「ロリポップ！」月額220円からWordPressが使え、ワンクリック60秒で簡単インストール！今すぐ10日間の無料お試し！
lolipop.jp
wp-htaccess/

このようなメールが届きます。

自由にアクセス出来るようにするにはこれでもいいが（やや危険ですが）

セキュリティを考慮して自分や管理者以外のログインを不正に行わせないためにはこの設定も重要ですが自宅やモバイルWi-Fi、会社などさまざまなIPアドレスからブログ更新したりする際はこのような設定も邪魔になるかもです。

この通知が来たサーバーはザクっとIP制限を外してたアカウントです。

やはりまた攻撃を受けていたようでロリポップ側の対応で助かったようです。

安全性を高めるためには.htaccessを編集してIPADDRESSの部分を自分のIPに変更する必要があります。

WordPressの.htaccess編集 / ホームページ・ブログ作成 / マニュアル - ロリポップ！レンタルサーバー

ロリポップ！レンタルサーバーのご利用マニュアル WordPress ワードプレスログインページの.htacceess編集について説明したマニュアルページです。

このページへ行くと（ロリポップ公式）ご自身のIPと設定方法が自動的に表示されます。

実際にサイト改ざんされた経験もあるのでIP制限はかけておくほうが安全です。