WordPressでは、プラグインを導入したりテーマファイルを編集することでかんたんに広告タグを設定できます。
しかしConoHa Wingを使っている場合、編集内容は絶対に間違っていないはずなのになぜかこのようなエラーが起きることがあります。
このような画面が表示された場合、編集内容は保存されない上に何度試しても保存できない症状に悩まされることになります。
今回はこの「閲覧できません (Forbidden access)」を解決する方法を紹介していきます。
WordPressの設定をいじれなくなる原因
「閲覧できません」と表示されてWordPress の設定はおろか、テーマファイルすら編集することができない現象は、WAFというセキュリティ機能が働いている可能性があります。
WAFとは?
WAF(Web Application Firewall)とは、WordPress などのシステムの脆弱性を突いた攻撃から守るためのセキュリティシステムです。
WAFを導入しておくと、万が一利用中のテーマやプラグインに脆弱性が見つかって、それを利用した攻撃を受けたときもWAFによって攻撃が防御されて自身のサイトを守ることができます。
ConoHa Wingはサーバー機能でWAFが提供されている
WordPressにはWAF機能が備わっていないため、WAF機能を持つプラグインなどを導入しない限りクロスサイトスクリプティングやSQLインジェクションのリスクがあります。
ですが、ConoHa WingにはこのWAF機能がサーバー機能の一つとして提供されており、なおかつ初期設定では有効化されています。
そのため別途セキュリティプラグインを導入しなくてもある程度のセキュリティ対策はされています。ですが、その影響で「閲覧できません」のエラーが起きて編集できなくなるという現象が発生してしまいます。
コントロールパネルからWAFを無効化すれば大丈夫
WAF機能はWordPressの管理画面から無効化することはできませんので、一度ConoHaのコントロールパネルにアクセスする必要があります。
WAFの設定はドメイン・サブドメイン単位で行うので、WAFを無効化したいドメインを選択しておいてください。
無効化したいドメインを選択したら、[サイトセキュリティ]をクリックします。
次に設定項目の中から[WAF]をクリックして切り替えてください。
すると、WAFの設定状況やWAFによって防がれた攻撃が表示されますのでWAFの利用設定を[OFF]に切り替えてください。
切り替えたら即設定が反映されます。
設定を切り替えた後、WordPress 画面に戻り広告タグの設定などを試してみてください。
ConoHa Wingの場合はほとんどこれが原因ですので、何事もなかったかのように設定が保存されるはずです。
一部ページのみ無効化したい場合
WAFをオフにすると、そのドメイン下のページ全てがWAFで保護されなくなりますが、それは困るという場合はページ・攻撃の種類別で無効化する方法があります。
その場合はWAFをオンにしたら表示されるログから行います。
「攻撃ターゲット URL」や「攻撃内容」は長いと省略されますが、それぞれの右隣にある「…」をクリックすると全文表示できます。
特定のページのWAFを無効化するには各項目の一番左にある[除外]をクリックします。
どのページを除外したらいいのかわからない場合
どのページを除外したらいいのか分からない場合、WordPress側でわざと「閲覧できません」のエラーを起こして、そのページのURLを確認してください。
そのURLと一致するものを除外すれば、WAFを正しく無効化することが出来ます。
WAFを無効化しても設定を編集できない場合
ConoHa WingのWAFの設定を無効化してもなお同様のエラーが発生して設定を編集することができない症状が起きることもあるでしょう。
その場合は一つだけ考えられる別の要因があります。
セキュリティプラグインが影響している
WordPressに導入したセキュリティプラグインがWAF機能を提供している場合、そのWAFが原因で編集内容を保存できない不具合が起きている可能性があります。
もし心当たりがある場合は有効化しているセキュリティプラグインを一度停止して、再度編集内容の保存を試みてください。
ただしあくまでConoHa Wingの場合ですので、他のサーバーを利用している場合はサーバー側が用意している別の機能が邪魔してる可能性があります。
その場合は一度お問い合わせください。
セキュリティ対策をしていないならWAFを有効化しておこう
WAFによって編集ができない場合も一時的に無効化して編集し、編集が終わったらまた有効化するという対策を取れば、比較的安全に編集することができます。
編集の度にコントロールパネルにログインする手間が発生しますが、Wordpressがハッキングされて乗っ取られる可能性を考慮すると絶対にしておくべきでしょう。
また、コントロールパネルにアクセスする手間を省くためにWAF機能を提供しているセキュリティプラグインを導入して、 WordPress管理画面で切り替えを行うという方法もあります。
WAF機能を提供しているセキュリティプラグイン
WAF機能を提供している有名なセキュリティプラグインというと「SiteGuard WP Plugin」があります。
ただし、SiteGuard WP Pluginで管理ページアクセス制限を有効化していて、なおかつログインページを変更していてそのページがわからない場合は、htaccessを見たりFTP接続でプラグインを削除しないとログインできなくなるので、注意が必要です。
このようなトラブルの際もお問い合わせいただければ解決させていただきます。
セキュリティ対策しない場合のリスク
もし、WAF機能を無効化してセキュリティ的に弱い状態で放置していた場合以下のようなリスクが出てきます。
- テーマやプラグインに脆弱性があった時、その脆弱性を利用してハッキングされる
- WordPress管理画面にアクセスできる人が意図的に悪意あるスクリプトを組み込ませる
一番怖いのは、テーマやプラグインに脆弱性があった際です。この場合、WAF機能が働いていないと簡単にWordPress がハッキングされてしまうため、よっぽどの理由が無い限りWAFはオンにしておくべきです。
特に長期間更新されていないプラグインを使っている場合にはこのようなハッキングの被害に遭う可能性があるので、WAFによって邪魔される設定変更のとき以外はWAFを有効化しておきましょう。
ConoHa Wingはログイン攻撃対策やスパム対策もバッチリ
ConoHa WingはWordpress乗っ取りや攻撃を防ぐために様々なセキュリティ対策が行われています。
- ログインに複数回失敗した人をブロックする
- コメントを短時間に大量に行った場合制限を行うスパム対策
- 海外からのコメントを全てブロックする
- 海外からのアクセス制限を行う
これは設定をサーバーパネルで簡単に切り替えることができます。
初期設定はこのようになっています。
ログイン試行回数制限など基本的なセキュリティ対策は有効化されていて、海外コメントブロックだけオフになっています。
海外ユーザーをターゲットにしていない場合はオフにしてもいいかも知れません。
ConoHa Wingでなにか困っていたらご相談ください
ConoHa Wingはエックスサーバーと並んで優秀なレンタルサーバーの一つですが、優秀すぎるあまり今回のようなトラブルに遭遇してしまうことがあります。
そのようなトラブルが発生して全然解決できないと困っている場合は、下記フォームからお問い合わせください。
プラグインで解決すべきものもあれば、サーバー設定を変更したほうが安全かつ簡単である場合もあるので、それぞれ対応させていただきます。