ブログBLOG

WordPressの管理画面で403エラーが出て保存できない時の対処法

WordPressの管理画面で403エラーが出て保存できない時の対処法

WordPressの管理画面で、プラグインなどの設定を終えて、保存をしようと思ったら「403エラー」「サーバーエラー(403 Forbidden)」「アクセスしようとしたページは表示できませんでした」「閲覧できません(Forbidden access)」などと表示されてしまい、設定変更の保存ができない場合があります。

せっかく、色々と画面を作成したり、設定をしたのに、保存ができずに、また1から設定しなおさないと思うと悲しいですよね。。。 そんな時は、サーバーで設定できるWAFを無効にすることで保存できるようになる可能性があります。

WAFの誤検知に注意

エックスサーバーやロリポップなど、最近のレンタルサーバーでは、WAFを無料で利用できるサーバーが多くなっています。WAF(Web Application Firewall)を利用することで、システムの脆弱性を悪用した攻撃を防ぐことができるようになる為、サイトのセキュリティが強化されるので、利用することが推奨されます。

WAFは通常であれば、月額数千円~数万円くらいの料金が発生するような有料のサービスなので、簡易版とはいえWAFを無料で利用できるのは、嬉しいですね。

ただ、無料で利用できるWAFでは、除外設定などの細かい設定ができない場合が多く、攻撃ではないアクセスも誤検知されてしまうことがあります。例えば、Googleタグマネージャーのタグの挿入や、Google広告のURLパラメータでも誤検知されてしまうことがある為、導入の際にはしっかりと検証するなどの注意が必要です。

WAFを無効化することで保存できる

今回のWordPressの管理画面で、保存をしようと思ったら403エラーで保存ができない、という現象もWAFの誤検知の可能性が高いです。WordPressの有料Themeで有名なTCDなどの設定や、プラグインのElementorによる画面の編集、Contact Form 7の設定など、保存する際に403エラーになってしまう現象は私も経験しています。

そんな時は、WordPressの画面はそのままにしておき、サーバーの管理画面を開いてWAFを無効化しましょう。5~10分でWAFの設定が反映されて、WordPressで保存ができるようになるはずです。

また、WordPressではなくても、何かシステムを構築してサイトで公開している場合には、こういった誤検知が発生する場合もありますので、403エラーが発生した際には、まずはWAFを無効にしてみましょう。※WordPressの設定が終わったら、再度WAFを有効化することを推奨します

エックスサーバーでWAFを無効化する手順

まずは、エックスサーバーの管理画面(サーバーパネル)にログインをします。
https://secure.xserver.ne.jp/xapanel/login/xserver/server/

「セキュリティ」の項目の「WAF設定」をクリックします。

まずは、エックスサーバーの管理画面(サーバーパネル)にログインをします。 「セキュリティ」の項目の「WAF設定」をクリックします。

 

すると、設定するドメインを選択する画面が表示されますので、WAFの設定を変更したいドメインをクリックします。

すると、設定するドメインを選択する画面が表示されますので、WAFの設定を変更したいドメインをクリックします。

 

「XSS対策」「SQL対策」「ファイル対策」「メール対策」「コマンド対策」「PHP対策」の項目ごとにWAFの設定を変更することができますので、全て「OFF」にして「無効化」します。ちなみにGoogle広告のパラメータの誤検知は「SQL(SQLインジェクション)」の設定だけをOFFにすることで回避できます。

「XSS対策」「SQL対策」「ファイル対策」「メール対策」「コマンド対策」「PHP対策」の項目ごとにWAFの設定を変更することができますので、全て「OFF」にして「無効化」します。ちなみにGoogle広告のパラメータの誤検知は「SQL(SQLインジェクション)」の設定だけをOFFにすることで回避できます。

確認画面に進んで、「設定する」をクリックすることで、設定変更は完了です。エックスサーバーでは、反映までに最大で1時間程度かかりますので、10分から60分ほど待ってから、WordPressで保存ができるようになっているか確認してみましょう。

ロリポップでWAFを無効化する手順

まずは、ロリポップの管理画面(ユーザー専用ページ)にログインをします。
https://user.lolipop.jp/

左メニューの「セキュリティ」から「WAF設定」をクリックします。

左メニューの「セキュリティ」から「WAF設定」をクリックします。

 

設定されているドメインの一覧が表示されますので、WAFの設定を変更したいドメインの「設定変更」の項目を「無効にする」をクリックすることで、WAFが無効化されます。

設定されているドメインの一覧が表示されますので、WAFの設定を変更したいドメインの「設定変更」の項目を「無効にする」をクリックすることで、WAFが無効化されます。

ロリポップの場合は、設定の反映は5~10分ほどになりますので、10分ほど経ったらWordPressが保存できるか確認してみましょう。

まとめ

WAFは、セキュリティを強化する為には利用したいところですが、誤検知問題に関してはなんとかして欲しいところではありますね。また、WAFを無効化してWordPressの保存が正常に完了した後は、セキュリティを強化するためにも、WAFは有効化しておきましょう。

関連記事

CONTACTお問い合わせ

システム開発やWEBサイト制作についてのご相談、お見積のご依頼などは、下記の窓口にて承ります。
まずはお気軽にお問い合わせください。お問い合わせはEメール・お電話にて承ります。