Webと本 – Webooker(ウェブッカー)

ロリポップを使っていてWordPressで403エラーが出た時の対処法

2013年9月1日追記
2013年8月28日より、ロリポップサーバ上のWordPressを狙った第三者からの大規模攻撃が発生しています。
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ!
これにより、サイトの改竄、アカウントの乗っ取りなどの事例が大量に起こっています。カスタマイズなどが終わったら、WAFの設定はONにしましょう。(私もONにしています。)

ロリポップ x WordPressで起こる403エラー

新しいブログをたちあげて、現在制作中である。レンタルサーバーはロリポップを利用中。安いので、手軽に始められて重宝している。大容量サービスやハイレベルな事をしなければ充分すぎるほど事足りる。


WordPressを使って構築中なのだが、そのプラグインである「
カスタムフィールドテンプレート を触っていたら、急にロリポップの403ページが出現して困った。

入力して「オプションを更新する」を押すと、ロリポップの403ページになるという現象だ。

urayasu003

最初は入力するコードが間違っているのかと思ったけど、それだと403(forbidden)では無いはずだし…。
と困っていたが、ドンピシャな回答を見つけたのでメモ。

WAF(Web Application Firewall)が原因だった

こちらの記事によると、ロリポップ!レンタルサーバーにはWAF(Web Application Firewall)というものが実装されており、外部からのサイト改竄などを防ぐ機能なのだそうだ。2012年9月から実装されている。

WordPressを更新すると「アクセス禁止」403エラーが出る対処方法 | アフィリエイトで稼ぐ!アクセスアップSEO術

しかし、サイトの持ち主の変更であるにも関わらず、外部からの改竄と誤って(というか、外部も当事者も判定する術がないのかも)、403を返してしまったということだ。

ロリポップ公式サイトでも、マニュアルに記載されていた。
PHPやCGIでプログラムの編集をすると403エラーが表示されます。 / CGI・SSI・PHPについて / よくある質問集 / サポート – レンタルサーバーならロリポップ!

解決策:WAFをOFFにする

ひとまずの解決策として、ロリポップの管理画面からWAF設定をOFFにしたら、問題なくソースコードのカスタマイズが出来るようになった。
WAFの設定・解除についての具体的な手順はこちら。

WAFの解除・設定 / ユーザー専用ページ / マニュアル – レンタルサーバーならロリポップ!

2013年9月1日追記
OFFにして編集が終わったらONに戻す事をオススメします。ONに戻しても編集内容は失われません。

それでもセキュリティが心配な人へ

上記の記事でも書いてあったが、セキュリティの機能をOFFにして大丈夫?という懸念がある。
そこでもう一つ見つけた記事がこちら。

ロリポップでWordPressを使っていてWAFの誤検知が出るときの対処法 | HASHコンサルティングオフィシャルブログ

以下の3つの方法で、WAFと共存する案を提示している。

  • ドメインを閲覧用と管理用で分ける
  • 閲覧用のドメインはWAFで防御する
  • 管理用のドメインはWAFは無効にして、BASIC認証で防御する

どうしてもセキリティが気になる場合は、多少手間がかかるかもしれないが、いずれかの方法を試してみてはいかがだろうか。

何もしなくてもロリポップ(WAF)とWordPressが共生出来れば、一番良いのだが…。



モバイルバージョンを終了