はじめに
/wp-admin/ や /wp-login.php にアクセスしようとすると403 Forbidden になる場合、管理画面へのアクセスを意図的に制限する設定があるか、セキュリティプラグインがブロックしている可能性が高いです。フロントは正常なのに管理画面だけ403になるパターンです。
wp-admin403エラーの主な原因
1. IPアドレス制限:特定のIPのみ許可する設定で、自分のIPが変わった
2. セキュリティプラグイン:Wordfence・iThemes Securityがブロック
3. wp-admin/.htaccess:管理画面用の.htaccessに問題がある
4. Basic認証の設定ミス:管理画面にBasic認証をかけて設定が壊れた
解決方法①:.htaccessのIPアドレス制限を確認する
ルートの .htaccess または wp-admin/.htaccess にIPアドレス制限が設定されていないか確認します:
# IPアドレス制限の例(自分のIPが変わって入れなくなったパターン)
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 203.0.113.1 ← ここが古いIPになっている
</Files>現在の自分のIPアドレスを確認して設定を更新するか、制限を削除します。
自分のIPを確認:https://whatismyipaddress.com/ 等を参照
解決方法②:セキュリティプラグインを無効化する
Wordfence・iThemes Security等がIPをブロックした場合、FTPでプラグインを無効化します:
wp-content/plugins/wordfence/ → wordfence_disabled/無効化後にアクセスできるようになった場合、プラグインの設定(ブロックリスト・ログイン制限等)を確認して自分のIPをホワイトリストに追加します。
Wordfenceのホワイトリスト追加(Wordfence管理画面から):
Wordfence → ファイアウォール → ブロックされたIPアドレス
→ 自分のIPを「永久にアクセスを許可」に追加解決方法③:wp-admin/.htaccessを確認・削除する
wp-admin/ フォルダ内に .htaccess が存在する場合、その内容を確認します。問題があれば削除します(WordPressは通常このファイルを必要としません)。
解決方法④:Basic認証の設定を修正する
管理画面にBasic認証をかけている場合、.htaccess と .htpasswd の設定が正しいか確認します:
# wp-admin/.htaccess の正しいBasic認証設定
AuthType Basic
AuthName "Restricted Access"
AuthUserFile /home/username/.htpasswd
Require valid-user
# WordPressのAJAX処理は認証を除外(重要)
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>admin-ajax.php を認証の対象から除外しないと、フロントのAJAX処理も403になります。
解決方法⑤:データベースからログインURLを確認する
まれに、セキュリティプラグインがログインURLを変更している場合(/wp-admin/ 以外のURLに変更)があります。phpMyAdmin → wp_options テーブルで wp_login_redirect 等の設定を確認します。
予防:管理画面のIPアドレス制限を設定する場合の注意
IPアドレス制限でセキュリティを強化する場合は、動的IP(接続のたびにIPが変わる)環境では注意が必要です。固定IPまたはVPNの使用を検討してください。
まとめ
wp-admin の403エラーは、IPアドレス制限の確認(.htaccessとセキュリティプラグイン両方)から始めてください。セキュリティプラグインのブロックが最多原因です。
関連記事: