WordPressのサイトロックダウン

夜中に届いた1通のメール。

A lockdown event has occurred due to too many failed login attempts or invalid username:
ログイン試行の失敗または無効なユーザー名が多すぎるため、ロックダウンイベントが発生しました。

Username:
IP Address: 12
IP Range: 12
Log into your site’s WordPress administration panel to see the duration of the lockout or to unlock the user.
サイトのWordPress管理パネルにログインして、ロックアウトの期間を確認するか、ユーザーのロックを解除します。

誰かさんがWordPressのサイトに不正ログインを試みたようだ。

それによってセキュリティプラグイン「all-in-one-wp-security-and-firewall」がユーザーをロックダウンしたらしい。

サイトにログインしようとすると

ACCOUNT PENDING: Your account is currently not active. An administrator needs to activate your account before you can login.
アカウントは現在アクティブではありません。ログインする前に、管理者がアカウントをアクティブ化する必要があります。

このようなエラーが出る。おそらく投稿からユーザー名を見つけてログインを試みたのだろう。

やはりWordPressはセキュリティが重要だ。

ただ、このままでは自分がログインできないので、いったんセキュリティプラグインを停止させる必要がある。
サイトにログインできないので、サーバーから行う。

以下はXサーバーの例。

サイトのルートディレクトリから「public_html」→「wp-content」→「plugins」フォルダの中から「all-in-one-wp-security-and-firewall」の名前を変更する。
変更例は「all-in-one-wp-security-and-firewall_1」などなんでも良い。

これでサイトにログインできるようになるので、WPセキュリティの再設定を行い、失敗したユーザーをブラックリストに登録すれば完了となる。