Wordfenceで管理画面にログインできない!2FAとCookieエラーの原因と解決法【実例あり】
WordPressのセキュリティ対策として定番の「Wordfence Security」。ログイン保護や2段階認証(2FA)など頼もしい機能が揃っていますが、設定の組み合わせによっては自分自身がログインできなくなることがあります。
まめすけまめすけも使っているけどログインできなかったときはドキドキしたよ!
今回は実際にクライアントから相談を受けたケースをもとに、原因の切り分けから解決までの流れを解説します。
こんな症状が出ていませんか?
- 2FAコードを入力したら「有効期限が切れている」と言われた
- 「Cookieがブロックされています」というエラーが出た
- 何度か試したらロックされてしまった
これらはすべて、Wordfenceの設定や環境との組み合わせで起こるトラブルです。順番に確認していきましょう。
まずここをチェック!(解決手順の早見表)
「とにかく早く解決したい」という方はこちらを先にご確認ください。
| ♯ | チェック項目 | 詳細 |
|---|---|---|
| ① | リカバリーコードでログインを試みる | → STEP1へ |
| ② | 認証アプリをGoogle Authenticatorに変更する | → STEP2へ |
| ③ | 広告ブロック拡張機能(AdLockなど)をOFFにする | → STEP3へ |
| ④ | reCAPTCHAを一時的にOFFにして干渉を確認する | → STEP4へ |
上から順番に試していくのが基本です。各STEPの詳しい手順は以下で解説します。
今回のトラブルの経緯
クライアントから「管理画面にログインできない」と連絡が入りました。状況を確認すると、以下の2つのエラーが連続して発生していました。
エラー①(最初に表示)
「入力された2FAコードは有効期限が切れているか、無効です。もう一度お試しください」
タブを閉じて再度ログインを試みたところ、今度は別のエラーが表示されました。
エラー②(再試行後に表示)
「Cookieがブロックされているか、お使いのブラウザーで未対応のようです。WordPressを使うにはCookieを有効化する必要があります。」
一見バラバラに見えるこの2つのエラーですが、根本の原因はひとつでした。
原因と解決の流れ
STEP1:リカバリーコードでログインする
2FAコードが通らない場合、まずリカバリーコードでログインします。リカバリーコードはWordfenceの2FA設定時に発行される緊急用コードです。
リカバリーコードは2FA設定時に必ず安全な場所へ保管してください。これがないとロックアウト時の対応が困難になります。
リカバリーコードでログインできたら、次のステップへ進みます。
STEP2:認証アプリをGoogle Authenticatorに変更する
2FAコードのエラーは、認証アプリの時刻ズレが原因のケースがあります。TOTPという仕組みはスマホとサーバーの時刻が一致していることが前提のため、アプリの動作が不安定だとコードがズレます。
今回はより安定したGoogle Authenticatorへの乗り換えで対応しました。
- リカバリーコードでWordPressにログイン
- Wordfence → Login Security で2FAを一度無効化
- スマホにGoogle Authenticatorをインストール
- Wordfenceで2FAを再度有効化してQRコードをスキャン
- 6桁コードで動作確認
STEP3:広告ブロック拡張機能(AdLock)を疑う
認証アプリを変えてもCookieエラーが出る場合、ブラウザの拡張機能が干渉している可能性があります。
今回のクライアントはAdLockという広告ブロック拡張機能を使用していました。これがWordPressのログインに必要なCookieや通信をブロックしていたのが本当の原因でした。
- 拡張機能をすべて無効にした状態でログインを試みる
- シークレットモード(拡張機能が無効になる)でログインを試みる
これでログインできれば、拡張機能が犯人です。
STEP4:reCAPTCHAとの干渉を確認・切り分ける
AdLockを疑ったところで、さらに絞り込みます。WorfdenceのreCAPTCHA機能はGoogleのサービスを利用するため、広告ブロック系の拡張機能と干渉することがあります。
- Wordfenceの設定でreCAPTCHAを一時的に無効化
- ログインを試みる
- ログインできれば「reCAPTCHA+AdLockの干渉」が原因と確定
今回はこの方法でAdLockとreCAPTCHAの組み合わせが原因であることが確定しました。
最終的な結論:reCAPTCHAはOFFで運用
切り分けの結果、今回はreCAPTCHAを無効のまま運用することにしました。
理由はシンプルで、Wordfenceにはもともとブルートフォース(総当たり)攻撃への対策機能が備わっており、2段階認証(2FA)も有効にしているため、reCAPTCHAがなくても十分なセキュリティレベルを維持できるからです。
| セキュリティ機能 | 役割 |
|---|---|
| ブルートフォース対策 | ログイン試行回数の制限・IPブロック |
| 2段階認証(2FA) | パスワード漏洩があっても不正ログインを防ぐ |
| reCAPTCHA | ボットによる自動入力を防ぐ |
2FAとブルートフォース対策の2枚看板があれば、reCAPTCHAがなくても実用上問題ありません。むしろ拡張機能との干渉でログインできなくなるリスクを排除できるため、この構成の方がトラブルが少ないと判断しました。
まとめ:Wordfenceログインエラーのチェックリスト
| 症状 | 原因 | 対処法 |
|---|---|---|
| 2FAコードが無効 | 認証アプリの時刻ズレ・アプリの不安定動作 | Google Authenticatorへ乗り換え |
| Cookieエラーが出る | 広告ブロック拡張機能の干渉 | 拡張機能をOFF・シークレットモードで確認 |
| CookieエラーがreCAPTCHAと連動 | reCAPTCHAと拡張機能の干渉 | reCAPTCHAをOFFにして運用を検討 |
| ロックアウト | ブルートフォース対策が作動 | リカバリーコードでログイン・管理者側で解除 |
今回の学び・保守管理の大切さ
今回のトラブルはクライアントが普段使っている拡張機能とWordfenceの設定の組み合わせが原因でした。こういったトラブルは環境依存のため、原因の切り分けには順番が大切です。
また、リカバリーコードを保管していなかった場合、今回のような対応はできず別のアプローチが必要になります。2FAを設定したら、必ずリカバリーコードを安全な場所に控えておきましょう。
WordPressの保守管理は「何かあったときに素早く対応できる体制を作ること」が本質です。日常的なメンテナンスから緊急対応まで、お困りのことがあればお気軽にご相談ください。
このサイトはテーマ「SWELL」を使っています
「SWELL」はWordpress初心者も慣れた人も使い続けられるテーマだと思います。
コメント