ロリポップを使っていてWordPressで403エラーが出た時の対処法

ロリポップ x WordPressで起こる403エラー

新しいブログをたちあげて、現在制作中である。レンタルサーバーはロリポップを利用中。安いので、手軽に始められて重宝している。大容量サービスやハイレベルな事をしなければ充分すぎるほど事足りる。

WordPressを使って構築中なのだが、そのプラグインである「
カスタムフィールドテンプレート」 を触っていたら、急にロリポップの403ページが出現して困った。

入力して「オプションを更新する」を押すと、ロリポップの403ページになるという現象だ。

最初は入力するコードが間違っているのかと思ったけど、それだと403（forbidden）では無いはずだし…。
と困っていたが、ドンピシャな回答を見つけたのでメモ。

WAF（Web Application Firewall）が原因だった

こちらの記事によると、ロリポップ！レンタルサーバーにはWAF（Web Application Firewall）というものが実装されており、外部からのサイト改竄などを防ぐ機能なのだそうだ。2012年9月から実装されている。

WordPressを更新すると「アクセス禁止」403エラーが出る対処方法 | アフィリエイトで稼ぐ！アクセスアップSEO術

しかし、サイトの持ち主の変更であるにも関わらず、外部からの改竄と誤って（というか、外部も当事者も判定する術がないのかも）、403を返してしまったということだ。

ロリポップ公式サイトでも、マニュアルに記載されていた。
PHPやCGIでプログラムの編集をすると403エラーが表示されます。 / ＣＧＩ・ＳＳＩ・ＰＨＰについて / よくある質問集 / サポート – レンタルサーバーならロリポップ！

解決策：WAFをOFFにする

ひとまずの解決策として、ロリポップの管理画面からWAF設定をOFFにしたら、問題なくソースコードのカスタマイズが出来るようになった。
WAFの設定・解除についての具体的な手順はこちら。

WAFの解除・設定 / ユーザー専用ページ / マニュアル – レンタルサーバーならロリポップ！

それでもセキュリティが心配な人へ

上記の記事でも書いてあったが、セキュリティの機能をOFFにして大丈夫？という懸念がある。
そこでもう一つ見つけた記事がこちら。

ロリポップでWordPressを使っていてWAFの誤検知が出るときの対処法 | HASHコンサルティングオフィシャルブログ

以下の3つの方法で、WAFと共存する案を提示している。

• ドメインを閲覧用と管理用で分ける
• 閲覧用のドメインはWAFで防御する
• 管理用のドメインはWAFは無効にして、BASIC認証で防御する

どうしてもセキリティが気になる場合は、多少手間がかかるかもしれないが、いずれかの方法を試してみてはいかがだろうか。

何もしなくてもロリポップ（WAF）とWordPressが共生出来れば、一番良いのだが…。

Webと本の人 Webooker （ウェブッカー）

フリーランス Webデザイナー・グラフィックデザイナー

2009年からIT業界に。
WebデザイナーとしてITベンチャー企業、SaaS企業、Web制作会社に勤務。
2016年11⽉より独⽴し、フリーランスのWebデザイナー、グラフィックデザイナーとして活動
2024年1月から大阪のシステム会社に勤務し、フリーランスとの二足のわらじで現在に⾄る。 2子の親。フルリモートワーク。