【WordPress TIPS】カスタムCSS/プラグイン編集で403エラーが出たときは【ロリポップ】

ロリポップレンタルサーバでカスタムCSSやプラグイン編集を行い『やっと終わった~^^保存保存♪』と保存ボタンを押したとき、こんな画面が出たことがありませんか?

ロリポップ403エラー


403Error
現在、このページへのアクセスは禁止されています。サイト管理者の方はページ権限設定などが適切かご確認ください。

と出て、編集が反映されないことがままあります。
これはどういうことか調べてみました。

403エラーとは一言でいうと『あんたにそんな事する権限ないアルヨ!』って拒否されてる状態ということです。
色々ググって見ると、パーミッションが間違ってとか書かれてますが、そこは間違っていません。
更に、通常CSSはローカルで編集してFTPでアップロードしていますが、その時は何も問題なく編集が反映されています。
CSS以外だと『AddQuicktag』プラグインで新しいタグを登録しようとした時になんかも出てました。
出るものと出ないものがあるということは、明らかにパーミッションではないということですよね。

そこで更に深く調べてみると、どうもロリポップサーバーのWAFがサイト改ざんと誤認識してるらしいことがわかりました。

WAFとは

Web Application Firewall(略称:WAF、ワフ)とは、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティ対策の一つ[1]。WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。WAFを使用することで、以下の効果が期待できる[1]。

・脆弱性を悪用した攻撃からウェブアプリケーションを防御する。
・脆弱性を悪用した攻撃を検出する。
・複数のウェブアプリケーションへの攻撃をまとめて防御する。

(Wikipediaより)
というウェブアプリケーションで、現在は多数のレンタルサーバにインストールされています。

私、CSSを編集するときには後でわからなくならないように、一つ一つコメントアウトで項目を入れているのですが、どうもそれが怪しい。

CSS編集画面

AddQuicktagでタグを編集する時も【*】(アスタリスク)使いますのでまず間違いないです。

となると、【SiteGuard】のWAFチューニングサポートを設定すれば良いのですが、さて困った、、、
普通にWAFチューニングサポートを使うにはロリポのユーザー専用ページのWAF設定から『検知ログ』を参照して、対象のシグネチャ(攻撃を識別するルール)をコピペしてあげれば良いのですが、ウチのサーバはロリポの「ハイスピードプラン」というWordPressのスピードに特化したサーバを使っていて、そのプランだと検知ログ参照機能が使えないのです。

ですので、あまり推奨される方法ではありませんが、WAF自体を無効化することにしました。
ロリポップユーザー専用ページにログインして、【WAF設定】を開きます。

waf設定

ここからWAFを「無効にする」をポチッとします。
そうすると

WAFをOFFにしました。

こうなりますので、そのまま5分ほど待ってサイトに設定が反映されれば、予想通り403は出なくなりました。

SiteGuardのWAFチューニングサポートはちょっと敷居が高いので、よくわからないという人にも使える方法かと思います。
この403に関しては調べても解説しているところが少ないので、同じように引っかかっている方の助けになればと思い記事にしました。
お困りの方はお試し下さい。

ただ、WordPressはその普及度の高さからちょっとした脆弱性を突かれることも多く、過去には大量のサイトが不正改ざんされるという大事故も起こっていますので、少しでもセキュリティを高めておいた方が良いに越したことはありません。
ちょっとめんどくさいですが、編集毎に一回一回ON⇔OFFを切り替えて使用することをオススメします。

Comments