WordPress403 Forbiddenの原因はWAF！対処し解決する方法！：ロリポップ、さくら、ヘテムルのサーバー

403エラーForbiddenの意味とは、閲覧を禁止されたページです。ブログ運営者が管理画面から出したとき大半の原因はWAFで、セキュリティにWAFを導入してるロリポップ、さくら、へテムルのサーバーを使ってますよね。違う場合は下記のとおり。

WAFの場合は管理画面からの閲覧で403ページが出ます。ブログのページを見ても403エラーは出てません＾＾

WAFだと感じたあなたは、この先読み進めて解決しましょう！

403 Error Forbidden！エラー原因は、WAFって何？

WAF（ウェブ アプリケーション ファイアウォール）で、ワフと言います。サーバーが使ってるファイアーウォールで、あなたのブログを外部攻撃から守ってくれる壁の存在がWAFと言えば解りやすいです。

外部攻撃を受けた！と認識したら、攻撃者を閲覧禁止にしてブログを守ります。

WordPressで、PHPをいじった後の更新・プラグインの更新、画像をアップしたとき・下書き保存したときなど、http経由で更新したした際、『外部ネットワークからあなたの管理画面が攻撃を受けた！と勘違い』してしまったんです。

WAFの誤認による運営者の閲覧を禁止、403エラーForbiddenが出た原因です。詳しくは、管理画面からの更新で403 ERROR Forbidden！WAFの誤認の原因で説明してます＾＾

403エラーページの対処法、WAFの無効化→有効化する

403 Forbiddenを誤認で出したあとは、レンタルサーバーへログインして「WAF設定」を「無効」にして、解除後有効化します。手順は下記の通り（ロリポップの手順）。ヘムテルさくらは管理画面違いますが参考まで。

1. ロリポップ！ユーザー専用ページにログイン
2. 『セキュリティ』より『WAF設定』へ
   

1. 該当ドメインの設定を【有効】　→　【無効】にする
   
2. 反映にかかる時間　→　５分～１０分ほど  （もっと短い時も）
3. ブログを確認
4. 更新の途中なら、再度更新。これで成功します！
5. 次に【WAF】を【有効】に戻してセキュリティで守ってもらいます。今の設定状態は、WAFが【無効】なので
   

   無効な状態だから【有効にする】をクリック。

6. WAFが【有効】になったか確認。これで外部攻撃から守ってくれます＾＾
   

   WAFの設定は『有効』になった。

WAFの誤認を回避する方法「ログ参照」でブロックされたログを見る

WAFでブロックした項目シグネチャをログ参照から見る事ができます。下記はxss-try-4というシグネチャをwp-admin/post.phpのディレクトリで出してるのが解ります。アクセス元のipはこの場合（私）になります。

私が投稿画面での更新した際、WAFが外部攻撃だと誤認した例ですね。xss-try-4というシグネチャを検知してアクセス元である私のIPを閲覧禁止にしてます。

誤認の403 Forbiddenで不具合を防止対策

ワフ誤認のログを確認して、次の誤認を防ぐ方法は下記を参考に設定してください。

LINK403 Forbidden誤認対策、WAFチューニングサポートのルール追加！WordPressサイトガードの設定

外部攻撃からの不正アクセスによるサイト改ざんや情報漏洩を防ぐ機能WAFに何故【有効】と【無効】が付いてるかと言うと、ソフトのインストール時にプログラムなどに影響でるためです。

無効にする時

• ドメインの削除時
  有効になってたら、ドメイン設定で削除できない。
• サーバーでソフトをインストールするとき
  WAFを無効にして、誤認による403 Forbiddenを防ぐ。

さいごに

ドメイン削除やソフト導入の時にWAFを切り忘れたら面倒です。通常は、有効にして外部からの不正侵入から守ってもらいましょう！WAFチューニングサポートを設定していると、同じ過ちは減っていきますよ。

WordPressは日夜狙われてると言っても、過言ではありません。常にテーマやプラグインのアップデートを行ってくださいね。実際の攻撃を受けてデータベースを荒らされたりしてからでは遅いですからセキュリティにも気を配りましょうね♪

LINKWAFがディレクトリトラバーサルの攻撃からWordPress、ブログを守るために出来ること

話はそれましたが、WAFの誤認による403エラーForbidden対策でした。

では、かうたっくより＾＾