ロリポップでプラグインやWordPressの設定を行っていると403 Errorが表示されて変更が反映されないエラーが起こったことはないでしょうか?
これはロリポップのWAF(Web Application Firewall)が原因です。ロリポップサーバーには標準でWAFが搭載されています。WAFはユーザーを守るためのセキュリティ機能です。
この記事ではロリポップのハイスピードプランで403表示が出たときの対処法を紹介します。対処方法はプランによって異なります。
ロリポップで403エラーが出たときの対処法
ロリポップサーバーを利用していると、WordPressの設定やプラグインを変更した際に「不正なパラメーターが送信されたため、アクセスをブロックしました~」という403 Errorが表示されることがあります。
この画面が表示される原因はWAFです。
変更したパラメータに”script” や “windows” といった攻撃に使われやすい文字列が入っているとブロックされます。
ロリポップで403エラーが出たときの対処法はスタンダードプラン以下の場合とハイスピード・エンタープライズの場合で対処方法が異なります。
- スタンダードプラン以下の場合:WAFをオフにする or 個別アクセス許可設定をする
- ハイスピード・エンタープライズの場合:WAFをオフにする
ハイスピード・エンタープライズの方が不便ですがこれはサーバーの仕様なので仕方ありません。
WAFを無効にする
WAFの無効化は全てのプランで使用できる方法です。
WAFの設定はユーザー専用ページから変更できます。
セキュリティ > WAF設定
WAFはドメインごとに設定されています。ドメイン横の無効にするをクリックして停止させてください。設定変更が反映されるまで5~10分かかります。
停止が反映された後はブロックされていた作業を行えばOKです。作業完了後はWAFを有効に戻しておいてください。
個別アクセス許可設定
スタンダードプラン以下で403エラーが出たときは個別アクセス許可設定が使用できます。
.htaccessに記述することでWAFを停止させることなく、自分のアクセスだけブロックを回避できます。
# 個別アクセス許可設定はスタンダードプラン以下のみ有効
# シグネチャを設定して回避する場合の例
SiteGuard_User_ExcludeSig xss-tag-1
# IPアドレスを設定して回避する場合の例
SiteGuard_User_ExcludeSig ip(192.197.78.43)
この方法はWAF停止・再設定の必要がなく非常にスマートな方法なのですが、ハイスピードプラン以上では使用できません。
ハイスピード以上では個別アクセス許可はできない
スタンダードプランの場合、.htaccessを編集して自分の接続のみ許可することが可能でした。
ハイスピード・エンタープライズの場合はWAF無効化しか方法がありません。スタンダードプランのように .htaccessを編集して個別除外設定でWAFのブロックを回避することはできません。
他に方法はないかサポートに問い合わせたのですが、個別アクセス許可はできないとの回答でした。
ハイスピードプラン・エンタープライズは仕組み上、WAFで検知されたシグネチャを個別に許可することができません。都度WAFの有効と無効を切り替えてご利用ください。
ロリポップサポートからの回答要約
多少手間ですが対処できないわけではないので、WAFを切り替えて使用してください。
WAFを常時OFFにしていい?
WAFを常時無効にするのはおすすめしません。
ロリポップのWAFは不便な面もありますが利点も大きいです。WAFを有効にしていればサイトのセキュリティを大幅に強化できるので使用するべきです。
スタンダードプランではWAFの検知ログを参照することができました。(ハイスピードプランではできません)
検知ログを見ていると毎日なんらかのアタックが来ていることが分かります。特に多いのはWordPressのプラグインに対する攻撃です。
プラグインはよく攻撃される
WordPressのプラグインはディレクトリ名もファイル名もソースコードも判明しているため、非常に攻撃を受けやすいです。脆弱性のあるプラグインにはとても頻繁に攻撃が来ます。最近ではWordPress用プラグイン File Manager に脆弱性が見つかりました。
プラグインの脆弱性をつかれると攻撃者に任意のコードを実行されてしまいます。パスワードをいくら強化していても無意味です。私はこういった理由から無駄なプラグインの使用を避けています。
WAFはこれらの攻撃からサイトを保護してくれます。WAFは攻撃だけでなくフォームを通した海外からのスパムメールのブロックにも役立ちます。
サイト改ざんの被害を防ぐためにもWAFは有効にしておくことをおすすめします。ただし完璧ではないので自ら予防策をとることが大切です。
WAFを切り替えて利用すること
ロリポップのハイスピードプランで403エラー表示が出たときの対処法を紹介しました。
ハイスピードプランでは個別アクセス許可はできないので、都度WAFを切り替えて使ってください。