2013年8月28日より、ロリポップサーバ上のWordPressを狙った第三者からの大規模攻撃が発生しています。
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ!
これにより、サイトの改竄、アカウントの乗っ取りなどの事例が大量に起こっています。カスタマイズなどが終わったら、WAFの設定はONにしましょう。(私もONにしています。)
ロリポップ x WordPressで起こる403エラー
新しいブログをたちあげて、現在制作中である。レンタルサーバーはロリポップを利用中。安いので、手軽に始められて重宝している。大容量サービスやハイレベルな事をしなければ充分すぎるほど事足りる。
WordPressを使って構築中なのだが、そのプラグインである「
カスタムフィールドテンプレート」
入力して「オプションを更新する」を押すと、ロリポップの403ページになるという現象だ。
最初は入力するコードが間違っているのかと思ったけど、それだと403(forbidden)では無いはずだし…。
と困っていたが、ドンピシャな回答を見つけたのでメモ。
WAF(Web Application Firewall)が原因だった
こちらの記事によると、ロリポップ!レンタルサーバーにはWAF(Web Application Firewall)というものが実装されており、外部からのサイト改竄などを防ぐ機能なのだそうだ。2012年9月から実装されている。
WordPressを更新すると「アクセス禁止」403エラーが出る対処方法 | アフィリエイトで稼ぐ!アクセスアップSEO術
しかし、サイトの持ち主の変更であるにも関わらず、外部からの改竄と誤って(というか、外部も当事者も判定する術がないのかも)、403を返してしまったということだ。
ロリポップ公式サイトでも、マニュアルに記載されていた。
PHPやCGIでプログラムの編集をすると403エラーが表示されます。 / CGI・SSI・PHPについて / よくある質問集 / サポート – レンタルサーバーならロリポップ!
解決策:WAFをOFFにする
ひとまずの解決策として、ロリポップの管理画面からWAF設定をOFFにしたら、問題なくソースコードのカスタマイズが出来るようになった。
WAFの設定・解除についての具体的な手順はこちら。
WAFの解除・設定 / ユーザー専用ページ / マニュアル – レンタルサーバーならロリポップ!
OFFにして編集が終わったらONに戻す事をオススメします。ONに戻しても編集内容は失われません。
それでもセキュリティが心配な人へ
上記の記事でも書いてあったが、セキュリティの機能をOFFにして大丈夫?という懸念がある。
そこでもう一つ見つけた記事がこちら。
ロリポップでWordPressを使っていてWAFの誤検知が出るときの対処法 | HASHコンサルティングオフィシャルブログ
以下の3つの方法で、WAFと共存する案を提示している。
- ドメインを閲覧用と管理用で分ける
- 閲覧用のドメインはWAFで防御する
- 管理用のドメインはWAFは無効にして、BASIC認証で防御する
どうしてもセキリティが気になる場合は、多少手間がかかるかもしれないが、いずれかの方法を試してみてはいかがだろうか。
何もしなくてもロリポップ(WAF)とWordPressが共生出来れば、一番良いのだが…。