All In One WP Securityを設定して、自分がログインできなくなった間抜けが居ましたとさ。

最初は何言ってるか理解できなかったけど、All In One WP Security の設定画面からブルートフォースアタックの設定を変更した後の流れを丁寧に説明してくれています。
さくらでクイックインストールすると、デフォルトで入ってくるWordPressのセキュリティープラグインがAll In One WP Securityですが、さくらのナレッジに丁寧な解説ページがありました。
プラグインの翻訳率が低いので、そこがネックなのですが、それ以外はかなり良いと思いました。
どの辺が良いかは、自分で使ってみて下さい。

https://knowledge.sakura.ad.jp/4253/

正規のダッシュボードのログインへたどり着くには下記のような流れとなります。

  1. Secret Word で指定した URL (http://ドメイン名/?{Secret Word}=1 ) にアクセス
    • 専用のHTTPクッキーが設定される
  2. 本来のダッシュボードのログインURLへリダイレクトされる
    • 専用のHTTPクッキーを持っている場合、正規とみなして処理を継続する
    • 専用のHTTPクッキーを持っていない場合、不正とみなしてRe-direct URLに設定されたURLへリダイレクトする
  3. wp-login.phpにてダッシュボードのログインフォームを表示する
    • ユーザ名とパスワードを入力し、認証を行う

このようにSecret Wordで指定したパラメタを含むURLを経由してからダッシュボードへのログインURLへ遷移する必要があるため、総当たり攻撃でいきなりwp-login.phpへアクセスした場合、認証フォームは表示されずRe-direct URLに設定されたURLへリダイレクトされてしまいます。

また、Secret Wordで指定したURLを忘れてしまいログインできなくなった場合は、.htaccess の #AIOWPS_ENABLE_BRUTE_FORCE_PREVENTION_START から #AIOWPS_ENABLE_BRUTE_FORCE_PREVENTION_END の部分を削除します。

どうですか。
これこれって感じの解説だと思います。

どこでつまずいたかというと、このプラグイン、管理画面へ入るためのセキュリティー設定項目が3つあります。ブルートフォースアタックの項目からいずれも設定出来るのですが、1つは管理画面のURLを変更するタイプ、もう一つはここで引用しているcookie認証タイプ、そしてホワイトリストの設定があります。そのうち、ホワイトリストの設定以外はどちらか1つが有効になっていると、もう片方が無効になります。これを知らずに、入れねえなあーと思考停止状態になってました。

クッキー認証タイプで管理画面へ入るか、自分だけが知っている管理画面のURLから入るか選べたんですね。(2つの併用は出来ない)

英語ばっかり書いてたので、つい脳がスルーしてました。というか、こんなページ読まなくても良いように日本語翻訳が進めばいいと思うんですが、だれもやらないのかな。
これ、PV的にはやったもん勝ちなんですけどね。(じゃあお前がやれ)

クラウドワークスとかで翻訳頼めば安くでやってくれると思うけど、それをサイトで配布するだけで結構PV集まると思うんだけどなぁ。(じゃあお前がやれ)