50代で初めてサーバーを契約しワードプレスでサイトを開設。その後は順調に投稿を続けていた。ある日、突然画面にサーバーエラー「403」表示に。私のようなワードプレス初心者はあたふたしていろんなところを触りまくって間違った操作や上書きをしまうことも。。実際に私もサイトを立ち上げて1週間、投稿記事数も5記事を超え、プラグインを追加し始めていた頃、突然同じ403表示となり、数時間フリーズしたまま途方にくれてしまっていた。まさか、また1から??。。。終わった。。。と。
いいえ、先ずはサーバーのいろんなところを触りまくることはせずに、設定内容を慎重に確認してみよう。そうすることで簡単に解決できる場合もあるようである(これはあくまでも自分が体験した解決方法で他の事象の場合もありますので参考程度に)。
ロリポップサーバー特有の現象?
同じような現象に遭った方のブログをいくつか見てみると、サーバーではロリポップで同様の事象が多く発生しているようであった。一般的にはロリポップの強固なセキュリティ設定がアクセスを制限することがあり、それらを緩和することで問題が解消される場合が多いというもの。
この手のErrorはURLをHTTPS(SSL)化したタイミング。つまり、ワードプレス側でURLをHTTPからHTTPSに設定変更した際やセキュリティ対策関連のプラグインをインストールし有効化した際などに多く発生するようである。
そのあたりはサーバーによって違いがあるようなので気になる方は先駆者の方々のブログを参考にされると良いと思う。
この方のサイトはとても分かりやすくそのあたりの内容に触れられている(初心者向けではないがなんとなく理解したい方にはおすすめ)。
参照:しらこのナレッジ様のブログ記事
WordPress (ワードプレス)の403エラーとは?
WordPressの403エラーを簡単に説明すると、”GoogleクロームやIE(インターネットエクスプローラー)などのような「ブラウザ」とロリポップやエックスサーバーのような「Webサーバー」の間をつなぐ通信用HTTPS(「Hypertext Transfer Protocol Secure」の略称で、SSL/TLSプロトコルにより暗号化された通信)(404や403、503など数字3つで画面に表示される)ステータスコードの一種”。Webサーバーからの反応の種類やエラーの内容を表すコードのこと。ステータスコードのなかでも【403 (Forbidden)Error(エラー)】”は、”Webサーバーがユーザーの操作などによりサイトへの(表示などの)指示をブラウザから「リクエスト」という形で受信はしたものの、処理できない”という不具合(異常)があった旨の意味を持つコードのこと。
どうしてWebサーバー(ロリポップサーバー)側がリクエストを受信したのにもかかわらず(サイトを表示するなどの)処理ができないのかは、アクセス権が付与されていないため。しかし、実際には(立ち上げたワードプレスにアクセス権限のある自身の)ロリポップサーバーからアクセス権がないように見えているということはサーバー側の設定に問題が発生していることが起因していることが多い。
WAFの誤検知
結論から言って、私の場合もこのパターンであったが、ロリポップサーバーに標準実装されている「WAF」(Web Application Firewall)という、Webアプリケーションの脆弱性を突いた攻撃に対してのセキュリティ対策機能が働いたことが影響していることことが多いようである。特にロリポップサーバーを使っている場合はこのWAF設定を見直してみることを先ず検討したほうが良いようである。
一般的にはECサイトや銀行サイトでは、顧客情報やクレジットカード情報に関するデータなどセキュアな情報のやり取りが発生するWebサービスに実装されている機能だが、このWAFがWordPressでの通常操作を誤検知してしまい403エラーが出ることがあるようである。
解決策(WAF設定の見直し)
ここではWAFの誤検知によりサーバーErrorが発生したと仮定した、WAF (ウェブ・アプリケーション・ファイアウォール)を無効化する方法を紹介したい。ここでは私が実体験でエラーを解消した方法を元にロリポップサーバー内での処理方法を記載させて頂く(※)。
※)原因が他にある場合やロリポップサーバー以外のサーバーをお使いの場合は適用できない場合がある点ご了承いただきたい。
- 1,ロリポップサーバー管理画面にログイン
- 契約しているロリポップサーバーの管理画面にID、PASSを入力しログインする。
- 2,「WAF設定」画面を開く
- ユーザー専用ページの「セキュリティ」>「WAF設定」に遷移する。
- 3,「WAF設定」を「無効」に
- 該当する(ワードプレスサイトの)ドメインのWAF設定の「設定変更」で「無効にする」を押し変更する。無効にした際には表示は「有効にする」となっている。そうすると「設定状態」は「無効」となりグレーアウトした状態となる)
実際の設定完了後の画面(一番上はロリポップサーバーのドメインのためその(有効の)まま。二番目がワードプレスサイトのドメインとなり「無効」とした)
実際上記設定を行ったあとに再度画面を更新したところ、サーバーエラーは解消されサイトが正常に表示された。
※ただし、場合によっては別の要因であることもあるため自身の責任の範囲内でセキュリティ設定を変更してほしい。
※Wordfence Securityプラグインのファイアウォール設定オプションから、WAFのON・OFFを切り替えることなどもできる。
今回はセキュリティが強すぎる点が影響したのかもしれないが、サーバーとは本来そういうものである。大切なサイトにかかわる個人情報や資産を様々な攻撃から守るためにはセキュリテイは高いに越したことはない。そういった高いセキュリティ対策が標準装備されているサーバーはやはり何かあった際にに安心できる。
セキュリティ対策がしっかりしているサーバー各種