/*Font Awesome利用*/

【謎の403エラー】Luxeritas(ルクセリタス)の定型文が保存できない場合の対処法

2020年5月6日

いつもお世話になっているWordPressの無料テーマ「Luxeritas(ルクセリタス)」ですが、定型文って機能を使うとLINEのトークのような吹き出しが使えるの知ってましたか?
そんなことも知らずに一生懸命CSSで再現しようとして、無駄な労力を使いました。

Left Caption

マヨさん

ねえ、セイさん!
Luxeritasの定型文登録で「保存」をクリックしただけなのに403エラーがでるんだけど、なんかされてる?
サイバー攻撃?
403エラー
Right Caption

セイ

そうそう、定型文でこんな吹き出しが使える・・・って
403エラー?

そうなんです。
確かにマヨさんが言った通り、WordPressの無料テーマ「Luxeritas(ルクセリタス)」で定型文の保存をすると403エラーとなる場合があります。
これWordPressの問題じゃなくてロリポップ!レンタルサーバーのWAF設定が原因だったんです。

今回の記事は

ロリポップ!レンタルサーバーのWAF設定を安全に回避する

をテーマにお送りします。

通常ロリポップ!レンタルサーバー側の設定変更を行うのですが、じつはWordPressのプラグインを利用すると、セキュリティはそのままに、すんごく簡単で安全にWAFをすり抜けられるんです。

ロリポップ!レンタルサーバーのWAFとは?

WAFはロリポップ!レンタルサーバーが提供しているセキュリティ機能の一つで、公式のヘルプに次のような説明がありました。

WAF(ウェブアプリケーションファイアウォール)は、ウェブサイトに対するクロスサイトスクリプティングやSQLインジェクションなどの攻撃を自動的にブロックします。
これまでのファイアウォールやIDS(侵入検知)、IPS(侵入防止)で防御できなかったウェブサイトへの攻撃を検知できることでより安全なサイト運営が実現されます。

出典:ロリポップ!レンタルサーバー wafによる脆弱性対策

まあ、これを無効にすれば403エラーは出なくなるんですが・・・
常時無効にしていいわけがないでので、定型文を保存する時だけ無効にします。

ユーザー専用ページでWAF設定を無効にする

設定方法は次の通り。

ロリポップ!レンタルサーバーのWAF設定

  1. まずユーザー専用ページからログイン
  2. 左のメニューの「WAF設定」をクリックして、該当のドメインの設定をクリックして「無効」にする

これだけです。
画面上の設定情報はすぐに「無効」と表示されますが、実際に設定が反映されるまでは5~10分ほどかかります。

確認方法は「ブログで定型文を保存して403エラーが出るかどうか」です。
そう、設定反映が完了したかの確認は、手動なんです。

定型文の保存ができたら、先ほどのWAF設定と同じ手順で「有効」に戻します。
有効にするのを忘れたら、サイトの安全守れませんからね!

Left Caption

マヨさん

ね~これさ~定型文保存するたびにするの時間かかるし、地味に面倒だよね?
有効にするの忘れないともかぎらないし・・・
Right Caption

セイ

でしょ?
そう言うと思って調べたら、WordPressのプラグイン「SiteGuard WP Plugin」に便利な機能があったんで、それを使ってみよう

WordPressのプラグイン「SiteGuard WP Plugin」を使う

WordPressでサイトを作るとき、必ず「SiteGuard WP Plugin」というプラグインを入れてます。
株式会社ジェイピー・セキュアさん提供の無料インストール・無料利用できる純国産のプラグインです。

主な機能は次の通り。

  • 不正ログイン防止
  • 管理ページ(/wp-admin/)への不正アクセス防止
  • コメントスパム防止

そして、細かい機能の中に「WAFチューニングサポート」というのがあります。

Luxeritasの定型文保存がなぜかサーバーへの攻撃と誤検知されているので、この機能を使ってロリポップ!レンタルサーバーのWAFのブロックを回避します。

Right Caption

セイ

むずかしいことはないので、心配無用!
順を追って説明しますね

SiteGuard WP Pluginのインストール

まずは「SiteGuard WP Plugin」のインストールです。

  1. WordPressのメニューから「プラグイン→新規追加」をクリック
  2. プラグインの検索に「SiteGuard WP Plugin」と入力
  3. 「SiteGuard WP Plugin」の「今すぐインストール」をクリック
  4. 「有効化」をクリック
  5. ログインページURLが変更されますのでクリック
  6. 文字キャプチャが追加されたログインページになるので、そこからログイン(ブックマーク忘れずに)

これでSiteGuard WP Pluginがインストールされました。

Right Caption

セイ

新しいログインページをブックマークし忘れても、以前のログインページのURLでも表示されます

自分のグローバルIPアドレスの確認

ロリポップ!レンタルサーバーでWAFのブロックが発生すると、ブロックした日時・URL・アクセス元IP・シグネチャが記録されます。

その記録が確かに自分なのかを確認するために、事前に自身のグローバルIPアドレスを「確認くん」で調べておきます。

IPアドレスを調べる(確認くん)

Right Caption

セイ

あなたのIPアドレス(IPv4)が現在のグローバルIPアドレスです
忘れないように、どこかにメモってください。

403エラーを発生させる

WordPressでLuxeritasの定型文登録の保存を行い、あえて403エラーを発生させます。
これでロリポップ!レンタルサーバーのWAFのログに、ブロックの内容が記録されます。

Right Caption

セイ

403エラーとなった時間もメモっておいてください

WAFのログを参照する

ロリポップ!レンタルサーバーのユーザー専用ページにログインし、WAF設定で該当ドメインのログを参照します。

日時が403エラーとなった時刻で、アクセス元IPが自分のグローバルIPであれば、WAFにブロックされたのは自分と判断できます。
WAFにブロックされたのが自分だと確認できたら、URLの中のファイル名と検出されたシグネチャをメモって下さい。

Right Caption

セイ

もしWAFのブロックが自分じゃなっかったときは、第三者からの攻撃を受けている可能性が高いので、これ以降の手順は行わずに、然るべきセキュリティ対策をとりましょう

WAFチューニングサポートの設定

WordPressでSiteGuardのWAF関連設定を行います。

  1. WordPressのメニューから「SiteGuard→WAFチューニングサポート」をクリック
  2. 「新しいルールを追加」をクリック
  3. メモっていたシグネチャ・ファイル名を入力(コメントはお任せ)して保存をクリック
  4. 機能を「ON」にしてルールを適用をクリック

設定はここまで。
これでロリポップ!レンタルサーバーのWAFの設定が有効のままでも、Luxeriasの定型文保存で403エラーが発生することがなくなります。

まとめ

Luxeritasの定型文保存時だけじゃなく、ロリポップ!レンタルサーバーを利用していてWordPressの作業時に403エラーが発生した場合は、この記事を参考にSiteGuardのWAFチューニングを設定することでエラーが回避できます。

Googleアドセンスのコード保存で発生する403エラーにも有効でしたので、もし発生した場合はぜひ試してみてください。

最後までお読みいただきありがとうございました。