お客さんのサイトを今構築中なのですが、ようやくローカルでのあれこれがおわってこれから先はサーバーでの作業だってなって、ドメインとかの設定は既に終わってたから(他の人が済ませておいてくれた)とりあえずメンテナンスモードにして…と思ったら 403 エラー…。

最初は日本語ドメインだから?とか疑ったけど別にそういうわけでもなく。

いろいろ調べてみたら、どうもロリポップに入ってるWAF(Web Application Firewall)が原因だったようで、ログを見たらなんかばーーーーって今設定してたプラグインページのURLがでてて…

うがーーー!

ってなったんですけど。

20141209_ugaaaa

なんか対処としてはWAFをOFFにするか、対象のエラーだけ弾かないようにする記述を .htaccess に書くっていう2種類の方法があるみたいで。

WAFとWordPressはなんか相性が悪いのかよく問題が起こってるみたいですが、可能なら有効にしておくべきだよなということで、とりあえず .htaccess で対策することに。

ログ画面(うえのキャプチャ)を見ながら、出ているエラー、今回の場合は sqlinj-22 に対して、ファイアウォールを通すようにするという記述をするらしいです。

具体的には、 SiteGuard_User_ExcludeSig (ルール名) と書けばいいそうです。今回の場合だとこんなかんじですね。

 これを、.htaccess の「# END WordPress」のあとあたりに書いて、保存しアップロード。

とりあえずこれでこのプラグインの設定はできるようになりました。

ですが、参考サイトによるとどうも他のエラーで弾かれることもあって、そうなったらそのたびにこうやって通していく必要があるっぽくて、そんな穴あきチーズみたいなファイアウォールってどうなん?って気もしますね。

今回はまだこれ1個で済んでますが、頻発するようなら他の部分のセキュリティを再度見なおした上でWAFはオフにして運用するほうがいいのだろうか…。

今はいいけど、お客さんが更新してる時になにか起こった時が厄介そう。。

更新ボタンを押すと403エラー[WordPress]

コメントする