403エラーでプラグインの設定変更が保存できない

私はロリポップを利用しているのですが、Google AdSense公式プラグインの設定変更の保存が、ひどく不安定でした。いくつかのサイトで試してみたところ、403エラーが表示され、設定変更を保存できないサイトもあれば、サブドメインを切っているサイトのなかには、403エラーが表示されているのに、設定変更が適用されていたり、エラー通り保存できなかったり、いろいろです(^_^.)。
Google AdSense公式プラグインに限った話ではないのですが、PHPやCGIを編集して保存しようとすると、WAFが原因で403エラーが出るというのは、ロリポップのヘルプにも掲載されているトラブルで、WAFを無効化すれば保存できます。

5-1

 

ロリップのサイトより(https://lolipop.jp/support/faq/cgi/000681/)
他のレンタルサーバーでも、同様のトラブルが報告されているケースもあるようですから、同じようなトラブルに見舞われる方もいるでしょうし、そもそもWAFって何なのと疑問に思われる方もいると思うので、WAFが原因の403エラーの対処方法に、補足しておきたいと思います。

 

WAF(Web Application Firewall)とは

安価なレンタルサーバーも、追加料金なしにWAFが導入されているプランが用意されていることが珍しくない時代になりました。
ファイアウォールとは不正アクセスを防ぐ仕組みで、たとえば、スイッチ、ルーターといったネットワークレベルでの不正アクセス防ぐ仕組みもあれば、Webアプリケーションレベルでの不正アクセスを防ぐ仕組みもあります。このWebアプリケーションレベルのファイアウォールがWAFですね。もちろん、スイッチやルーターといったネットワークレベルで稼働するファイアウォールと組み合わせて運用します。
図の壁は、ネットワークレベルでの防火壁のイメージです。WAFも、専用の機器と一体化しているものをさす場合もあれば、既存のマシンにインストールして(OS上に組み込んで)使うソフトウエアをさす場合もあります。いずれにしても、Webアプリケーショの脆弱性を悪用して仕掛けられる攻撃を検出、防御して、ウェブサイトを保護するセキュティツールです。

5-2

画才の欠片もない私の、オフィスのクリップアートを使った、ざっくりした図で申し訳ないのですが、ロリポップは、上段のホスト型(WAFをサーバーにインストールして使うタイプ)を導入しています。サイトで、Webサーバー情報を調べてみると、使っているソフトェアも表示されています。

5-3

つまり、『SiteGuard Lite』というWAFを使っているレンタルサーバーなら、同様のトラブルが起きるということで、初心者でもお手軽に申し込めるレンタルサーバーでは、同じWAFを使っている会社もあります。

『SiteGuard』というファイアウォール製品を販売している会社のサイトを確認すると、(http://www.jp-secure.com/index.html)、他のレンタルサーバー会社の導入も確認できますし、同じようなエラーを見てみる人間は、決して少なくないのかもしれません。

 

WAF設定の無効化と有効化

私の場合は、ロリポップのサイトにログインインして、一度、WAFを無効化。グーグルアドセンスの公式プラグインの設定をして保存。その後、WAFを再び、有効に戻します。私の場合は、これまでも、アドセンス広告の表示自体は問題なかったので、WAFを有効化しても、広告表示には問題ありませんでした。

5-4
除外設定もできる

一回一回のWAF有効化、無効化が煩わしい場合は、『除外設定』ができます。
長くなりますので、今日は、ここまでにしますが、次回は、『htaccessによる除外設定』、あと、SiteGuard Liteの会社が、WordPress用に公式に配布しているプラグインによる除外設定について書きたいと思います。