WordPressで403が出たらWAFチューニングサポートで解消

WordPressで何かしらの作業をしていると、”403 Forbidden”が出る事があると思います。

私もこれまで「あー、また403だ。」と何度もWAFには泣かされました。

403″Forbidden”（閲覧禁止）が出たら、WAF機能を「無効」にしてWordPressに戻ると解消されます。

画像クリックで大表示

しかし、いちいち切り替えするのは面倒。

私は記事を書く時は基本的にWAFを「無効」にしていますが、
たまにうっかり、切りっぱなしにしている事があったりします。

「無効」にしっぱなしでは、危険なので最近では「有効化」したまま、403が出たら、
ロリポップ！のWAFのログをみて、WAFが邪魔してしまった(誤検知)、動作を除外する事にしています。

除外方法として、htaccessで除外する方法もありますが、(.htaccessによる除外記述の方法)
SiteGuardというプラグインがインストールされている場合は、
このプラグインのWAFチューニングサポートという項目で、WAF除外ルールを設定すると良いです。

除外設定をするには、ロリポップ！に行き、
WAF設定画面で「ログ」をクリックして、WAF検知ログ画面を閲覧します。

ロリポのWAF検知ログ画面

ここで除外設定に必要なコードを取得します。

①⇒誤検知のシグネチャ名　(WAF除外ルールのシグネチャの欄に書く、名前《コード》)

②⇒誤検知のファイル名　　(WAF除外ルールのファイル名の欄に書く、頁名)

WAFが邪魔してしまった(誤検知)、動作のシグネチャコードとファイル名がログに出ますので、
これを除外ルールとして設定します。

WAFチューニングサポート ⇐本家サイトへのリンク

SiteGuardのメニュー内の一番下の項目「WAFチューニングサポート」をクリック。

ONとOFFを切り替えます。デフォルトはOFFです。

「新しいルールを追加」をクリックします。

以下のWAF除外ルール編集画面で
先程、ロリポップ！でWAF検知ログで表示されたコードとファイル名を入力。

コメント欄は、入力しなくても良いです。

記入するなら、何(何処)が403で誤検知したのかを
自分の分かりやすい様に書くと良いと思います。

入力が終わったら、変更を保存ボタンをクリック。

これで終わり。
簡単に設定できるのですが、WAFの動作を「除外」したので、
この除外した部分はセキュリティ対策がない部分って事になるので、

結局、この記事で書いたような心配が残る訳で。

除外ルールを設定するとイチイチ「無効化」「有効化」をせずに済むので
楽になるのは間違いないですけど、セキュリティーが緩むってのは困りものですね。

WAFと上手く共存できる方法・・・無いですかねー😵