みなさんこんにちは。ひやまんです。
WordPressで記事を保存しようとしたり、変更した設定を保存しようとしたりした際に以下のような画面が出力されてしまうことはないでしょうか。
変更が保存・反映できない上に編集内容が破棄される場合もあったりします。なかなかに凶悪な画面です。
ひやまんブログが稼働しているConoHa WINGの場合、原因はサーバー側のセキュリティ設定(WAF)によるもののようでした。タイミングによっては危険ですが、ON/OFFすることで対応することができます。
今回はこのWAFについてご紹介します。ちなみにセキュリティの機能なので設定を操作する際はご自身の責任で慎重に行っていただければと思います。
WAFとは
WAFはWeb Application Firewallの略で、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。
ちょっと何言っているのか分からない
という方は、WordPress版のウイルス対策ソフトだと思っていただければ概ね正しいです。
実際にはSQLインジェクションやクロスサイトスクリプティングなどの攻撃から保護してくれる機能となっています。
WAFが無いと何が起きる?
ここではインターネット上のウェブサーバーへの攻撃の種類について詳細は触れませんが、例えば以下のような被害が発生することが考えられます。サイト自身の被害も結構痛いですが、利用者へも被害が広がる可能性があるので基本的には設定しておいた方がいいでしょう。
- ブログ記事が削除されたり、記事の内容やサイト内の情報が変更される
- 不正なリンクを埋め込まれて、ブログの読者に被害が出る
- パスワードを奪われサイトを乗っ取られる
有名サイトならともかくこんな弱小ブログでも、本当にそんなによそから攻撃されたりするの?世界はそんなに争いに満ちているの?
とお思いかもしれませんが、実際には下図の通りでひやまんブログも開設以降ほぼ毎日攻撃にさらされているのであなたのサイトも確実に攻撃の標的になります。そういうもんだと思って対策するしかありません。
WAFをONにしているとForbbiden画面が表示されるのはなぜ?
すべてを把握しているわけではありませんが、ひやまんは主に以下の操作をした際に遭遇します。
- Headerの設定を変更する
- カスタムCSS/カスタムJavascriptを設定する
おそらくですが、編集した内容がクロスサイトスクリプティングなどscriptを実行させる系の攻撃として誤認識されているのではないかなと思います。WAFとしてはちゃんと仕事をしている結果ではあります。
Forbbidenが表示される場合の対応法
大きくは2つあります。
誤検知の除外設定をする
WAFを継続利用しながら操作できる比較的安全な方法です。
ConoHa WINGのサイトにログインし、サイト管理→サイトセキュリティ→WAFを選択します。
アクセスを排除したログが出ていると思いますので、その中から除外したい操作のログに対応する除外ボタンをせんたくしたら完了です。
実行後、5分ほどしてから再度同じ操作でForbbiden画面が表示されなければ操作完了です。
一時的にWAFを切る(非推奨)
ログ見てもよくわからない...。どれがどれだか...。
という方もいるかと思います。実際変なログを除外対応に指定して攻撃をスルーさせまくるのも問題です。
一応の回避策としてはWAFを一時的にOFFにして、操作が終わったらONにするというやり方があります。OFFにしているので当然のことながらその間はForbbiden画面が出ません。やり方は以下のとおりです。
ConoHa WINGのサイトにログインし、サイト管理→サイトセキュリティ→WAFを選択します。
利用設定部分がONになっているので、OFFを選択することでWAFを切ることができます。逆にONを選択したらWAFが起動します。
記事を作成後、WAFをOFF→記事を保存→WAFをONみたいな感じで操作することで除外対応なしで記事の保存ができます。
お手軽にできますが、数秒間程度とはいえセキュリティがOFFになるのはあまり好ましくはありません。自己責任でご実施ください。
まとめ
WordPressで記事や設定を保存しようとするとforbidden画面が出て保存できない場合の対応方法についてご紹介しました。
セキュリティの設定なのであまりいじりたくはないですが、やらないと記事が更新できない場合は腹を括って操作するしか無いですね。
でわでわ。ごきげんよう!
コメント