ワードプレス(WP)のプラグイン「Master Post Advert」で設定を変更できない不具合に見舞われました。
プラグインの設定を終えて、「変更・保存」しようとすると以下の画面が表示されます。
原因はレンタルサーバーロリポップのWAF設定なのですが、一応の決着がみられたのでシェアしたいと思います。
「Master Post Advert」設定変更時にロリポップの403エラーがでる場合はWAFが効いている
原因はロリポップが標準装備を始めた、WAF(ウェブアプリケーションファイアーウォール)にあります。
詳しくは「ロリポップでWordPressを使っていてWAFの誤検知が出るときの対処法」をご覧ください。
WAFに関しては、WPログインの脆弱性を付いて、第三者による不正な書き換えを防止するために導入されているファイアーウォールです。
上のブログで紹介されている対処法としては、
- 閲覧用のドメインはHTTPとして運用、WAFで防御する
- 管理用のドメインを「WordPress HTTPS」というプラグインで共有SSLを使いBASIC認証で保護し、WAFの設定は外す
詳しくその手順が書かれているので再現も可能なのでしょう。しかし、ちょっと設定を変えるだけにしては大げさすぎるかな?と思い、一時的にWAFを解除して、プラグインの設定を変更、すぐにWAFの設定を戻す。という方法に落ち着きました。
WAF設定変更の具体的な方法
ロリポップのサイトにログインして、左側メニューの「WEBツール」から「WAF設定」を選択
WAF設定が「有効」になっているので「無効にする」をクリック
ここで一つ注意点ですが「無効状態」にしても設定が効くまでに5~10分時間を要します。以下の作業ができない場合は一度時間をおいてください。
WPプラグイン「Master Post Advert」の設定を完了して、「変更と保存」をクリック
プラグインの変更をしたら、忘れずにWAF設定を元の有効状態に戻します。
それでも改善しない場合はサーバー移転が有効
第三者による不正な改ざんを防ぐ手立てとして、WAFは有効な手段です。
できればWAF有効なまま、ワードプレスの運営をしたいものですが、幾つかのプラグインの設定変更ができなくなっています。
「WAF有効」な状態でも記事の投稿や編集は可能です。プラグインの設定編集は頻度の少ない作業なので、随時ファイヤーウォールを切れば十分対処できると考えます。
これでも、広告設定ができない場合は、サーバー移転を検討する必要があります。【サーバー移転で解決】「Master Post Advert」プラグイン設定変更できない