2015/11/19

403エラーの原因はWAF!対処し解決する方法!:ロリポップ、さくら、ヘテムルのサーバー

403ページが出たときの画像です

403エラーForbiddenの意味とは、閲覧を禁止されたページです。ブログ運営者が管理画面から出したとき大半の原因はWAFで、セキュリティにWAFを導入してるロリポップ、さくら、へテムルのサーバーを使ってますよね。違う場合は下記のとおり。

ブログへ訪問したユーザーが403ページを見るのは次のとおり。

  • 運営者がブログを見ちゃダメと、IP制限などして閲覧を禁止
  • 何らかの設定ミス。
  • 新規ドメイン(URL)を取ってDNS(ドメイン ネーム システム)が反映していない。(最大3日早いと30分以内)

WAFだと感じたあなたは、この先読み進めて解決しましょう!

スポンサーリンク

403 Error Forbidden!エラー原因は、WAFって何?

WAF(ウェブ アプリケーション ファイアウォール)で、ワフと言います。サーバーが使ってるファイアーウォールで、あなたのブログを外部攻撃から守ってくれる壁の存在がWAFと言えば解りやすいです。

外部攻撃を受けた!と認識したら、攻撃者を閲覧禁止にしてブログを守ります。

WordPressで、PHPをいじった後の更新・プラグインの更新、画像をアップしたとき・下書き保存したときなど、http経由で更新したした際、『外部ネットワークからあなたの管理画面が攻撃を受けた!と勘違い』してしまったんです。

WAFの誤認による運営者の閲覧を禁止、403エラーForbiddenが出た原因です。詳しくは、管理画面からの更新で403 ERROR Forbidden!WAFの誤認の原因で説明してます^^

403エラーページの対処法、WAFの無効化→有効化する

403 Forbiddenを誤認で出したあとは、レンタルサーバーへログインして「WAF設定」を「無効」にして、解除後有効化します。手順は下記の通り(ロリポップの手順)。ヘムテルさくらは管理画面違いますが参考まで。

  1. ロリポップ!ユーザー専用ページにログイン
  2. WebツールよりWAF設定へ
    WAF設定画面への向かい方
  3. 【有効】 → 【無効】に変える
    WAFの無効

反映にかかる時間 → 5分~10分ほど  (もっと短い時もあります)少し待ってブログを確認したら、いつものブログ画面に戻ります。メチャクチャ簡単!

元に戻ったら、【WAF】を【有効】に戻しておきましょう♪

  1. 今の設定状態は、WAFが【無効】
    現在の設定、WAFが無効
  2. 【有効にする】をクリック
  3. WAFを【有効】にしておく
    WAFの設定画面、有効、無効、ログ参照。

WAFの誤認を回避する方法「ログ参照」でブロックされたログを見る

WAFでブロックした項目シグネチャをログ参照から見る事ができます。下記はxss-try-4というシグネチャをwp-admin/post.phpのディレクトリで出してるのが解ります。アクセス元のipはこの場合(私)になります。

ロリポップWAFが誤認したシグニチャxss-try-4

私が投稿画面での更新した際、WAFが外部攻撃だと誤認した例ですね。xss-try-4というシグネチャを検知してアクセス元である私のIPを閲覧禁止にしてます。

 

誤認の403 Forbiddenで不具合を防止対策

ワフ誤認のログを確認して、次の誤認を防ぐ方法は下記を参考に設定してください。

LINKSiteGuard WP Pluginの目次「WAFチューニングサポート」は「waf」の誤認対策!

外部攻撃からの不正アクセスによるサイト改ざんや情報漏洩を防ぐ機能WAFに何故【有効】と【無効】が付いてるかと言うと、ソフトのインストール時にプログラムなどに影響でるためです。

無効にする時

  • ドメインの削除時
    有効になってたら、ドメイン設定で削除できない。
  • サーバーでソフトをインストールするとき
    WAFを無効にして、誤認による403 Forbiddenを防ぐ。

さいごに

ドメイン削除やソフト導入の時にWAFを切り忘れたら面倒です。通常は、有効にして外部からの不正侵入から守ってもらいましょう!WAFチューニングサポートを設定していると、同じ過ちは減っていきますよ。

WordPressは日夜狙われてると言っても、過言ではありません。導入しやすく、色んなテーマやプラグインも出回ってます。更新されてないモノを使うデメリットは、セキュリティの脆弱性です。

常にアップデートされてセキュリティ面で安心な管理されてるプラグインを選んでくださいね。実際の攻撃を受けてデータベースを荒らされたりしてからでは遅いですからセキュリティにも気を配りましょうね♪

簡単にセキュリティ対策ができる!SiteGuard WP Pluginの設定方法と詳細

話はそれましたが、WAFの誤認による403エラーForbidden対策でした。

では、かうたっくより^^

書いた人:かうたっく

何も知らない初心者ですが、WordPressでブログを始めました。 ブログの技術系でつまずいたエラーを経験したことからエラー関連を、初心者が初心者に向けて分かりやすい言葉で書いてます★子どもの喘息様気管支炎や、幼い子どもとの生活ページなどよく読まれる雑多ブログを運営中^^♪ご意見、感想、質問はお問い合せよりお待ちしています。

Twitterフォロー