это wp-auth-check.js: хартбит дёргает admin-ajax.php?action=heartbeat, и модалка вылезает когда пришёл нормальный ответ, но в нём "wp-auth-check": false — то есть WP реально не признаёт куку. Глянь DevTools → Network в момент когда окно всплывает: если в JSON именно это поле false, копай куку/домен (http vs https), время на сервере, смену пароля или «завершить все сессии» в другой вкладке, плагины лимита сессий. Если там вместо этого nonces_expired — это отдельная история про протухший nonce, а не про саму сессию. А вот 403, таймаут или пустой ответ на сам heartbeat-запрос это уже не WP — что-то режет запрос раньше (хостинг, WAF, Cloudflare, необязательно Wordfence).