WordPressのテーマの編集をしただけで403エラーが発生!これはやっぱりロリポップのWAFの設定?

当ブログはサーバーにロリポップ!レンタルサーバーを利用してます。
あっ、サーバーについても初心者の小梅太郎です。

ロリポップ!レンタルサーバーで大きなサイト改ざんの問題があったのは記憶に新しい所ですが、それ以来なのかどうかは定かでないのですが、WordPressのテーマの編集をしただけで、403エラーが発生するようになってしまいました。

lolipop_403_error

もっと前からだったのかもよく分からないのですが、テーマの編集ができないというのははっきりいって致命的ですよね。

けどこれ、以前から言われていて、ロリポップの質問集にも掲載されている、WAF(ウェブアプリケーションファイアウォール)の設定が有効な状態でPHPやCGIでプログラムの編集をすると、403エラーが表示される、という問題そのもののようですよね。

参考:PHPやCGIでプログラムの編集をすると403エラーが表示されます。 / CGI・SSI・PHPについて / よくある質問集 / サポート – レンタルサーバーならロリポップ!

実はちょっと前ですが、この件についてロリポップに問い合わせをしたんです。

その回答は、先に言ってしまうと、操作している間はWAFを無効にしてくださいということ。

う〜ん、あんな大きなサイト改ざんの問題があったのに、セキュリティ対策の一つであるWAFを無効にしても大丈夫なのか?というのが初心者としては心配で気になるところなんですが…

ちなみに、エラーがWAFによるものであるかどうかについては、ロリポップの管理画面からメニューの「WEBツール」→「WAF設定」の画面で対象ドメインの「ログ参照」をクリックすると、WAFでアクセスを制限された記録を確認することができます。

lolipop_WAF

結局作業としては、WordPressのテーマを編集して、更新時にはWAFを無効にして、ファイルの編集に成功したら、その後にまた有効に戻すという、ちょっと(いや、かなり)手間ですが、そのような対応にしてます。

有効と無効の設定変更は、先ほどのメニューの「WEBツール」→「WAF設定」の画面でクリック一つでできます。

ただ、元々「設定変更後、反映に5〜10分ほど時間を要します。」ということなので、操作の間だけ切り替えると言っても、それだけの時間を前後で待たないと実際の操作ができないということなんですよね。

やっぱり不便ですね。

それより何より初心者として思うのは、セキュリティ対策の機能を無効にしないと操作できない、というのはいかがなものなのか…

ちなみに、WAFを無効にしていて大丈夫なのか、というごく初心者的な初歩的な質問もしたのですが、それに対しての回答はなかったです。

何だか釈然としませんが、現状は以上のように対応してます。
今後、頻繁にテーマの編集を行うようだと、何か考えないとダメなのかな〜