ロリポップでWordPressの追加CSSを更新しようとしたらエラーになった場合の対処方法

セキュリティー
スポンサーリンク

ロリポップサーバーでWordPressを運用している人はかなり多いと思いますが、ロリポップサーバーでセキュリティーを強化して以来、WordPressの管理画面にてテーマや追加CSSのカスタマイズをすると更新時にエラーとなる事象が発生しています。
具体的には以下のようなエラーが発生して更新が保存されません。

「何かうまくいかなかったようです。時間をおいてもう一度お試しください。」

今回はこのエラーの回避方法について記載します。

スポンサーリンク

エラー回避方法

エラー原因

このエラーはロリポップサーバーに導入されたセキュリティを強化するための機能の一つであるWAFの誤検知によるものです。
WAFを簡単に説明しますと、http通信(URLにhttp://~で書き始めますね。これはhttp通信ですよということを宣言しているわけです。)でやりとりされるメッセージのファイアーウォールです。
メッセージ中にセキュリティ上好ましくない文言(シグネチャ)が入っているとエラーとしてはじいて悪さをされることを防ぐ機能です。
今回、WordPressの管理画面から追加CSSをカスタマイズした後で保存しようとした際に送信されたメッセージの中にこのWAFがセキュリティ上好ましくない文言(シグネチャ)を検知したため更新が失敗してしまったというわけです。
したがって、WordPressの管理画面から行う「追加CSSカスタマイズ」は問題ないので検査から除外してくださいという登録をするのが今回の回避策になります。

それでは、早速、回避方法をご紹介します。

エラー回避策「WAF除外ルールの作成」

まず、WordPressのプラグイン「SiteGuard WP Plugin」をインストールします。
このプラグインは無償で使えるのにかなり優秀なプラグインで、これをインストールするだけでかなりセキュリティを向上させることが可能です。
このプラグインの中にある「WAFチューニングサポート」という機能を使います。

「SiteGuard WP Plugin」をインストールして有効化すると、WordPressの管理画面に以下のように「SiteGuard」というメニューがでてきますので「WAFチューニングサポート」をクリックしてください。

「WAFチューニングサポート」画面にて「新しいルールを追加」というボタンをクリックしてルールを作成します。

「WAF除外ルール 追加」画面にて以下のように「シグネチャ」「ファイル名」「コメント」を追加してください。

シグネチャ:xss-try-4
xss-try-11
sqlinj-55
sqlinj-22

ファイル名:admin-ajax.php

コメント:wordpressカスタマイズ時のWAF誤検知回避

※シグネチャ、ファイル名は環境や更新実行時により変わりますのでご自身の環境に適した値を登録してください。
なお、ご自身の環境に適した値を参照する方法は、次章「ロリポップ!ユーザー専用ページからWAF誤検知シグネチャ確認方法」をご参照ください。

値を入力したら、画面右下の「保存」ボタンをクリックしてください。

「WAFチューニングサポート」画面に戻りましたら、画面左下の「ルールを適用」ボタンをクリックしてください。

正常にルールが適用されると、画面左上に「ルールを適用しました。」 というメッセージが出力されます。
この時、併せて、本機能をON/OFF設定するボタンが「ON」が黒色になっていることを確認してください。

以上で、WAF除外ルールの作成は完了です。

この後、WordPressの管理画面から先ほどエラーになった「追加CSSのカスタマイズ」を実施して保存しても問題ないことを確認してください。
もしまたエラーになるようであれば、再度、次章「ロリポップ!ユーザー専用ページからWAF誤検知シグネチャ確認方法」でエラーとなったシグネチャを確認し、また新たなシグネチャが検出された場合には、上記方法にてWAF除外ルールに追加してください。

 

ロリポップ!ユーザー専用ページからWAF誤検知シグネチャ確認方法

WAFが誤検知したシグネチャは、「ロリポップ!ユーザー専用ページ」で確認することができます。
その確認方法をご紹介します。

「ロリポップ!ユーザー専用ページ」にログインすると、画面左側にあるWAF設定をクリックします。

「WAF設定」画面が表示されたら、該当ドメインの「ログ参照」ボタンをクリックしてください。

該当ドメインの直近のログが出力されます。下に行くほど最新のログになりますので、一番新しいログを確認するためには、画面をスクロールして一番下のログを確認してください。

上図で赤丸で囲った部分が「シグネチャ(xss-try-4)」と「ファイル名(admin-ajax.php)」です。

ちなみに、このシグネチャは更新内容や更新タイミングにより変動します。
sqlinj-55になったり、xss-try-11やsqlinj-22になったり、数字の部分は環境によっても変わってきます。
ご自身の環境でエラーになった時に出力されたシグネチャを「WAFチューニングサポート」にて除外登録するようにしてください。
但し、たくさん登録しすぎるとセキュリティーの低下が懸念されますので、必要最小限での除外登録に留めることをおススメします。

 

まとめ

今回は、ロリポップサーバーにてWordPressの運用時に追加CSSやテーマのカスタマイズを行う際に更新でエラーになってしまう場合の対処方法を記載しました。
実は、この対処方法にはもう一つやり方があります。
それは、ご自身が更新作業を行うIPアドレスを登録してそのIPアドレスだけは変更を許可するというものです。
こちらはセキュリティー上好ましいのですが、固定のIPアドレスを持っていない場合には、毎回IPアドレスを修正しないといけないという手間がかかってしまうので今回はご紹介しませんでした。
もし、機会があればこちらの方法もご紹介したいと思います。

スポンサーリンク

コメント

タイトルとURLをコピーしました