WordPress関連の設定を変更していた時に、画像のように「403 Error」になったことないですか?
不正なパラメーターが送信されたため、アクセスをブロックしました。
または、パターンなどの保存で、「更新に失敗しました。」のエラーになることもあります。
更新に失敗しました。返答が正しいJSONレスポンスではありません。
これは、ブログの改ざんを防いでくれるWAF(Web Application Firewall)という機能が働いていることでエラーとなっています。
自分が操作していた時に出たエラーであれば、ちょっと過敏にWAFが反応した結果なので気にする必要はありません。
とは言っても、設定変更できないと困りますよね。
この記事では、WAFの設定を一時的に無効化(解除)して、エラーが発生しない方法を詳しく解説していきます。
「403 Error」以外のエラーの場合もWAFが原因の可能性があるので、今から解説する方法をぜひ参考にしてください!
WAF(Web Application Firewall)とは何か?
WAF(Web Application Firewall)は、日本語に訳すと「Webアプリ防護壁」です。
つまり、WordPressなどのブログを悪意の攻撃から防御(守る)ための仕組みといえばいいですかね。
ざっくばらんに、以下の機能があります。
1番目の「不正なリクエスト」というのは、データベースに対する不正操作や悪意のあるクロスサイトスクリプティング(XSS)の埋め込みなどが該当します。
WAFを提供しているレンタルサーバーは多いですが、ロリポップでは標準状態で有効化(ON)になっているので、契約したその日から自動で攻撃から守ってくれるんです。
WAFを無効化(除外)する
WAFを一時的に無効化(除外)する手順です。
WAFの無効化はあくまでも一時的にして、エラーが解消されたら必ず有効化してください!
「ロリポップ!ユーザー専用ページ」にアクセスし、以下の情報を入力・選択して、「ログイン」をクリックしてください。
- 初期ドメイン名
- ドメイン名(サーバー名)
- パスワード
ロリポップの申込み完了メールに①、②の情報が書かれているので、メールを確認してください。(ただし、パスワードは書いてません)
ちなみに、
ロリポップの申込みの「アカウント情報入力」のステップで、①初期ドメイン名、③パスワードを入力しています。(②は自動割り当て)
メニュー「セキュリティ」→「WAF設定」をクリック。
WAFを無効化したいサイト(ドメイン)の「無効化にする」をクリック。
「設定状態」が「無効」になれば変更は完了ですが、設定画面にも書かれているように変更が実際に反映されるのに5分~10分程度かかるようなので、しばらく待ちましょう。
反映が完了していたら、エラーとなっていた設定変更をしてもエラーにならないはずです。
再度WAFを有効化する場合は、今度は「有効にする」のボタンを押せばOKです。
(こちらも反映に5分~10分程度かかります)
WAFの検知結果をログで確認する
WAFで検知された攻撃内容はログに記録されるので、ロリポップでは直近1週間ですがログを確認することが可能です。
WAFの設定画面で、「ログ参照」をクリック。
画像は、このブログで検知された実際のログとなります。
このログを見ると、いわゆる「SQLインジェクション」が検知されたことがわかりますが、アクセス元のIPを確認すると、僕がブロックパターンを保存した時に記録されたものだということがわかりました。(ちょっと安心)
ちょっと特殊なパターンを作ったのが原因なのか、この時はWAFが原因だとわからず何度も保存してしまったので、その分だけログに記録されています。
時々WAFのログを確認して、自分のブログが攻撃されていないか確認した方がいいでしょう。
攻撃から守ってくれるWAFは必ず有効にしよう
ここまで、WAFの無効化(解除)の方法を解説しましたが、無効化はあくまでも一時的にしてください。
WordPressの設定変更やWebフォルダ内にファイルを作ったり編集するたびに、WAFが攻撃とみなしてエラーにします。
こういう操作のたびにエラーになるのはちょっとわずらわしいですが、だからといってWAFを無効化すると、不正アクセスや改ざんのリスクが高まるのでやめましょう。
エラーになった時は、「WAFがちゃんと機能しているんだな」という確認にもなるので、有効化を強くおすすめします!
コメント