ロリポップで「不正なアクセスを検知いたしました」とメールが来てWordPressの管理画面にアクセスできない場合の対処方法

ロリポップサーバーを利用していて、「不正なアクセスを検知いたしました」という連絡が来て、WordPressの管理画面に入れなくなった場合の対処方法です。
管理画面にアクセスすると上のような画面になっています。
一応、手順はこのページに書いてあるのですが、これは許可するIPアドレスを.htaccessで指定するというもの。
これでもOKなのですが、毎回同じパソコン・同じ場所からアクセスする場合は良いのですが、スマホやタブレットで他の場所からもアクセスしたい場合や、接続しているプロバイダーサービスによってはIPアドレスが度々変わる場合もあり、その度にIPアドレスの書き換えをするのは面倒な作業になります。
という事でこの方法ではなく、wp-login.phpにアクセスしようとしたらベーシック認証をさせる方法です。
ベーシック認証とは、.htaccessを設定して、パスワードを入力しないと管理画面に入れないというものです。
管理画面に入ってから、再度通常のIDとパスで2段階認証するという方法ですね。

1.wp-login.phpと同じフォルダーにある.htaccessを書き変える

# BEGIN WordPress
から
# END WordPress
はそのまま触らずに、その下に書いてあるこの部分を書き変えます。

# BEGIN Lolipop [ http://lolipop.jp/manual/blog/wp-htaccess/ ]
<Files wp-login.php>
ErrorDocument 403 /lolipop_service_documents/wp-login-deny.html
Order deny,allow
Deny from all
Allow from IPADDRESS
</Files>
# END Lolipop

この部分を以下のように書き換えします。

# BEGIN Basic
 <Files wp-login.php>
 AuthName "Input ID & Password"
 AuthType Basic
 AuthUserFile /wp-login.phpの置いてあるフォルダーまでのフルパス/.htpasswd
 Require valid-user
 </Files>
 # END

ロリポップの管理画面から「WEBツール」→「ロリポップFTP」で.htaccessを開いても良いですし、FTPで一旦DLしてから書き変えてもOKです。
「/wp-login.phpの置いてあるフォルダーまでのパス/.htpasswd」という部分ですが、ロリポップのユーザー管理画面から「アカウント情報」という所に記載されています。
その情報の中の「フルパス」という部分です。
例)/home/users/2/○○○○○○○○○○○○○○/web みたいな感じで書かれています。

中身を書き変えたら、メモ帳などに必ずバックアップを取っておいて下さい!!

※ロリポップFTPの画面から書き変える場合は次の「2.ベーシック認証用のIDとパスワードを設定する」の時に、ロリポップの管理画面から.htpasswdを設定する際にこの.htaccessが上書きされてしまう場合があるので、バックアップをお忘れなく。
 

2.ベーシック認証用のIDとパスワードを設定する

次にwp-login.phpと同じフォルダーに.htpasswdというファイルをアップロードすればOKですが、.htpasswdというファイルの作り方が分からない場合は、こちらもロリポップの管理画面から.htpasswdファイルが設定できます。
「WEBツール」の「アクセス制限」から「新規作成」をクリックします
lolipop2
lolipop3

.htaccess設置ディレクトリ wp-login.phpがあるディレクトリを指定します
※特にディレクトリがなくpublic直下の場合は何も入力しなくてOK
設定するドメインを選択 複数のドメインを使っている場合などは設定したいドメインを選択します
認証フォームタイトル 「認証フォームタイトル」の部分は日本語を入れると文字化けしますので、英数で入れましょう。
アカウント名 好きな文字を入れます
パスワード 好きな文字を入れます

入力が終われば、この画面の下の「作成」ボタンをクリックします。
これで、管理画面にアクセスした時に認証が必要になります。
2段階認証で少し面倒ですが、一度設定してしまえば次からは楽ちんですね。

補足事項!その1

.htaccessファイルを書き変えると、「403 Forbidden」と表示されて下層ページにアクセス出来なくなる事があります。
そういう場合は、WordPressのダッシュボードから「設定」→「パーマリンク設定」で、何も書き変えずに「変更を保存」をすると表示されるようになります。

補足事項!その2

管理画面のページではなく、サイト自体にパスワード認証がかかってしまう場合があります。
その時は、2の手順「ベーシック認証用のIDとパスワードを設定する」という作業の際に、.htaccessファイルが上書きされてしまっています。
再度ロリポップFTPツールにログインして、バックアップを取っておいた、.htaccessファイルに書き変えて下さい。