ぶんたのそぞろある記から独立移転しました。

ロリポップの403 Error「何かがうまくいかなかったようです」

ロリポップの403Error

Adsenseコードをheadタグへ貼り付けた時に上図のようなエラーメッセージが出て進まなかったということがありました。

目次

エラーが発生したのはサイバー攻撃を防ぐ機能が働いたから

また「追加CSS」にてコードを追加しアップロードをする際に「更新」「プレビュー」などのボタンがグレーアウト(薄い灰色に)したままとなり、押せなくなることがしばしばありました。

一瞬固まったのかなと思いましたが、このままでは次の作業ができません。

また次のようなメッセージが出ていることもありました。

WAFにより拒否された状況
例1 ダッシュボードに表示

「何かうまくいかなかったようです。時間を置いて~」という表現も少々腹立たしくなるのですが、要するに何らかのエラーが発生しているわけですね。

調べて見ると、PHPやCGIプログラム、CSSの記述変更をしたものなどをサーバーに送ろうとすると、サーバーのWAFという機能が攻撃を受けたものと誤検知してしまうことがあるらしいのです。

WAFとは

脅威を検知してブロックする機能が WAF (Web Application Firewall) と言われるもので、不正アクセスによるサイトの改ざんや情報漏洩を防ぐ機能のことです。多くのサーバーで採用されています。

サーバーの「WAF」というセキュリティの問題なので、「時間を置いて」も解決することはありません。

私が使用しているサーバーはロリポップなのですが、他にもこのようなエラーが出るサーバーがあるようです。

ロリポップのサポートに問い合わせたところ、エラーを回避するにはその都度WAFを無効にしてくださいとのことでした。

【エラー回避方法1】一時的にWAFを無効にすることによって回避

ロリポップの管理画面で左側のメニューからセキュリティ → WAF設定と進むと下の画面になるので、右端の設定変更ボタンをクリックして無効にします。

WAFを一時的に無効にする

「有効・無効」の切り替えが反映されるには10分程度を要します。

ロリポップの場合は独自ドメインを設定すると「www」が付加されたものも自動的に作成されますが、分からなければ全部無効にしてもいいです。

編集記事をアップロードする時にこの設定変更をするのは面倒ですが、セキュリティと利便性とは相反するものです。

慣れてくるとWordPress編集画面を開く前にWAFを無効にする癖がついてしまいました。もちろん一連の作業が済んだら設定は「有効」に戻しておきます。

【エラー回避方法2】プラグイン SiteGuard でWAFの除外設定をする

ただしロリポップのハイスピードプランとエンタープライズプランでは検知ログの参照ができないため、プラグインを使ったこの機能は利用できません。

概要のみ記載します。

SiteGuard WP Pluginは、管理ページとログインに関する攻撃からの防御に特化したセキュリティプラグインで、WAFが誤検知(正常アクセスなのに403エラーが発生する等)をした時のログをサーバーから入手して除外ルールを作成する機能があります。

WAFの防御機能を活かしながら、上記のような場合には除外ルールに従ってパスしてくれるものです。

ただしロリポップのハイスピードプランとエンタープライズプランでは検知ログの参照ができないため、除外ルールの作成ができません。

つまりSightGuardのWAF除外ルール設定はできないので、前項【エラー回避方法1】により手動でON、OFFを行うことになります。


参考になる他サイトをご紹介します。

(おわり)

Page Top
目次
閉じる