Moral Hazard!!

ドラマーが音楽やホームページやガラクタを作るよ。

wordpressプラグインの設定項目を変更すると403エラーが出る件

No Comment wordpress

あるプラグインの設定項目を変更して保存すると403エラーが出て、設定変更を反映できないことがあった。

僕が使ってたのはwp polesとfancybox for wordpressなんだけど、そのどっちもが同じ挙動で慌てた。

最初は「管理画面でできなければ直接書き換えればいいじゃない!」とマリーアントワネットばりに強引にmysqlを直接書き換えてたんだけど、403が出る原因がレンタルサーバーの「WAF」にある事が分かった。

hetemlやロリポップが導入してるサーバーサイドのセキリュティソフトウェア
「WAF(ウェブアプリケーションファイアウォール)
はデフォルトで有効になってるが、これがたまに誤検知する。

以前ロリポップで共用サーバのDB経由で大量ハッキングを受けたときも「WAFを有効にしてね!」とロリポップさんからお達しがきたが、実際WAFを有効にしてる事でwordpress運用時にトラブルが出るケースが多い。

だからといって面倒だからWAFをオフにする、ってのもアレ。
なのでこちらに書いてあるWAFをONにしたままwordpressを運用する方法などはいかがかと。

あーなるほどね、レンタルサーバが出してる共用SSLのURLにだけWAFをオフにして、htaccessで認証をかけて、管理画面はそこからログインする。
それでサイト自体のSQLインジェクションを防ぐってことね。

さらにXSS(クロスサイトスクリプティング)を防ぐために、更新作業は普段のブラウザと違うブラウザを使えとのこと。
うわー手間!
でも安全ってこうまでしないと手に入らないってことですね。

僕は面倒なので、403が出たときだけWAFを切ります。