2013.07.11 2013.09.01

ロリポップを使っていてWordPressで403エラーが出た時の対処法

webooker

2013年9月1日追記
2013年8月28日より、ロリポップサーバ上のWordPressを狙った第三者からの大規模攻撃が発生しています。
当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ！
これにより、サイトの改竄、アカウントの乗っ取りなどの事例が大量に起こっています。カスタマイズなどが終わったら、WAFの設定はONにしましょう。（私もONにしています。）

Contents

ロリポップ x WordPressで起こる403エラー

新しいブログをたちあげて、現在制作中である。レンタルサーバーはロリポップを利用中。安いので、手軽に始められて重宝している。大容量サービスやハイレベルな事をしなければ充分すぎるほど事足りる。

WordPressを使って構築中なのだが、そのプラグインである「
カスタムフィールドテンプレート」を触っていたら、急にロリポップの403ページが出現して困った。

入力して「オプションを更新する」を押すと、ロリポップの403ページになるという現象だ。

最初は入力するコードが間違っているのかと思ったけど、それだと403（forbidden）では無いはずだし…。
と困っていたが、ドンピシャな回答を見つけたのでメモ。

こちらの記事によると、ロリポップ！レンタルサーバーにはWAF（Web Application Firewall）というものが実装されており、外部からのサイト改竄などを防ぐ機能なのだそうだ。2012年9月から実装されている。

しかし、サイトの持ち主の変更であるにも関わらず、外部からの改竄と誤って（というか、外部も当事者も判定する術がないのかも）、403を返してしまったということだ。

ひとまずの解決策として、ロリポップの管理画面からWAF設定をOFFにしたら、問題なくソースコードのカスタマイズが出来るようになった。
WAFの設定・解除についての具体的な手順はこちら。

2013年9月1日追記
OFFにして編集が終わったらONに戻す事をオススメします。ONに戻しても編集内容は失われません。

上記の記事でも書いてあったが、セキュリティの機能をOFFにして大丈夫？という懸念がある。
そこでもう一つ見つけた記事がこちら。

以下の3つの方法で、WAFと共存する案を提示している。

ドメインを閲覧用と管理用で分ける
閲覧用のドメインはWAFで防御する
管理用のドメインはWAFは無効にして、BASIC認証で防御する

どうしてもセキリティが気になる場合は、多少手間がかかるかもしれないが、いずれかの方法を試してみてはいかがだろうか。

何もしなくてもロリポップ（WAF）とWordPressが共生出来れば、一番良いのだが…。