ヘテムルでWordPressのテーマDigipressを使っていると、Mature、Atractiveのテンプレート内にある専用の編集画面「詳細編集」での変更作業時にサーバーから403エラーが返されることが有ります。これはDigipressの問題ではなくサーバー側とWordPressの相性が悪いことから起こるエラーです。
サイト自体は問題なく公開状態、WordPressも普通に稼働している状態です。
目次
この403エラーの解消法はWAF設定のON、OFF
2012年頃よりWEBサイト改ざんなどの外的攻撃を遮断するためにWAF設定というものがヘテムルでも導入され、レンタルしているサーバーの格独自ドメインの設定が自動的にWAF設定ONになっています。
403エラーを発生させないようにするにはこのWAF設定をオフにするだけです。
WAF設定の変更方法
レンタルサーバーヘテムルの管理画面
右サイドバーにあるWAF設定をクリックし、変更を施したい独自ドメインを選択します。
詳細を見るクリックで
設定がONの状態であればOFFにします。
※ヘテムルの場合変更作業を完了すればwww.のサブドメインも同時に変更されます。
設定変更後数分すればエラーは発生しなくなります。
変更時のセキュリティ(安全性)について
WAFの役割は以下の様なものです
WAF(ウェブアプリケーションファイアウォール)とは
WAF(ウェブアプリケーションファイアウォール)とは、株式会社JP-Secure(ジェイピー・セキュア)が提供する、不正アクセスによるサイト改ざんや情報漏洩を防ぐ機能です。WAFはWebアプリケーションへのアクセスを仲介し、従来のファイアウォールやIDS(侵入検知)、IPS(侵入防止)では防ぐことができなかったWebアプリケーションを狙う攻撃を検知・防御します。
ネットワーク攻撃の手法や攻撃ツールは日々進化増大していき、またWebサイトの更新やWebアプリケーションの開発の度に個人で脆弱性の監査・改修をす るのは困難です。そこでヘテムルではWAFをサーバーに標準搭載することにより、WAF独自の攻撃や手法をデータベース化し、マッチングして攻撃を判断・ ブロックするブラックリスト方式を用いてこれらの攻撃を一元的にブロックします。
ヘテムルレンタルサーバーでは、WAF製品「SiteGuard Lite」を採用し、2012年9月27日(木)から標準搭載しました。
ヘテムルは2012年9月より採用しています。
この設定をONにすることで特定のIPからの侵入に対して安全性は高まりますが、デメリットとして自分自身も回線やパソコンを変更するとWordPressにログイン出来ないなどの不具合も起こります。
設定を解除することでそのような不具合は解消されます。
WordPressのセキュリティ(安全性)を高めるには
- IDはデフォルトのadminにしない。
- パスワードは大文字小文字の英数に数字を加え長めにする
- 脆弱性のあるプラグインは導入しない
といったことで最低限守っておけばとりあえず安全に使うことは出来るでしょう。
他社サーバーでもWAF設定は同様の動き
WordPressを使っているとロリポップほかのサーバーでもWAFが自動設定されてWordPressの動きにさまざまなエラーを発生させます。
この場合はやむを得ずWAF設定を解除するしかないでしょう。