あるプラグインの設定項目を変更して保存すると403エラーが出て、設定変更を反映できないことがあった。
僕が使ってたのはwp polesとfancybox for wordpressなんだけど、そのどっちもが同じ挙動で慌てた。
最初は「管理画面でできなければ直接書き換えればいいじゃない!」とマリーアントワネットばりに強引にmysqlを直接書き換えてたんだけど、403が出る原因がレンタルサーバーの「WAF」にある事が分かった。
hetemlやロリポップが導入してるサーバーサイドのセキリュティソフトウェア
「WAF(ウェブアプリケーションファイアウォール)」
はデフォルトで有効になってるが、これがたまに誤検知する。
以前ロリポップで共用サーバのDB経由で大量ハッキングを受けたときも「WAFを有効にしてね!」とロリポップさんからお達しがきたが、実際WAFを有効にしてる事でwordpress運用時にトラブルが出るケースが多い。
だからといって面倒だからWAFをオフにする、ってのもアレ。
なのでこちらに書いてあるWAFをONにしたままwordpressを運用する方法などはいかがかと。
あーなるほどね、レンタルサーバが出してる共用SSLのURLにだけWAFをオフにして、htaccessで認証をかけて、管理画面はそこからログインする。
それでサイト自体のSQLインジェクションを防ぐってことね。
さらにXSS(クロスサイトスクリプティング)を防ぐために、更新作業は普段のブラウザと違うブラウザを使えとのこと。
うわー手間!
でも安全ってこうまでしないと手に入らないってことですね。
僕は面倒なので、403が出たときだけWAFを切ります。