WordPress

【WordPress】閲覧できません ( Forbidden access ) (レンタルサーバー別対処方法を紹介)


パソコンを見つめる女性

WordPress で(主にコンテンツにスクリプトを書いて)保存した場合に、「閲覧できません」と表示されて保存ができない場合があります。

初めてみたときは焦りますが、簡単に回避できますので問題ありません。

事象の例と、レンタルサーバーサービスごとの対処方法(回避方法)を、本記事で紹介します。

「閲覧できません」と表示されて保存できない事象(例)と原因

■ 「閲覧できません」の発生例

主に <script> タブを含んだコンテンツを保存すると、エラーメッセージ(「閲覧できません( Forbidden access )」 )の画面が出て保存ができない場合があります。

エラーメッセージ

閲覧できません ( Forbidden access )

指定したウェブページを表示することができません。

入力したURLや値が正しくない可能性が御座いますのでご確認ください。

The server refuse to browse the page.

The URL or value may not be correct. Please confirm the value.

■ 発生原因は「WAF セキュリティ」

保存できない原因は、WAF セキュリティが有効になっているためです。

WAF セキュリティとは、

わくわく、あっぱれ、ファンタスティックセキュリティ!です。

違います!

WAF ( Web Application Firewall : ワフ ) とは、サイト外からの攻撃に対する防御システム です。

WAF とは

Webアプリケーションに対する攻撃(「SQLインジェクション」や「クロスサイトスクリプティング」など)を防御するファイヤウォールです。

基本的にサイトを提供するサーバでは WAF が ON になっていることで、外部からの悪意がある攻撃を防ぐ役割を担っています。

つまり、本エラーが出る原因は、あなたの保存ボタンを押した操作を「悪意ある攻撃」だと認識して WAF がブロックしています。

守り過ぎです。

対処方法(おすすめ):一時的に WAF を OFF にする

対処するためには以下2通りの方法があります。

  • 攻撃(自分の行動は攻撃じゃ無いけど)を特定して特定操作を常に除外する
  • 一時的に WAF を OFF にする

恒常的に自サイトからのアクセスを常に除外する設定を入れることもできますが、その設定自体がセキュリティの甘さにつながる可能性もありますので、本記事では、「一時的に WAF を OFF にする方法」 をおすすめします。

■ ConoHa WING レンタルサーバーの場合

ポイント

ConoHa WING の設定
  • WordPress の管理画面にログインする
  • 「ConoHa WING」メニューから「設定」を選択する
  • セキュリティの利用設定のチェックを外す
  • 「設定を変更する」をクリックする
  • WAF は大事なセキュリティですので、保存操作が終わったらすぐに設定を ON に戻す

■ お名前ドットコムレンタルサーバーの場合

お名前.com

お名前ドットコムのWAF設定
  1. レンタルサーバーのコントロールパネルにログインする
  2. セキュリティタブをクリックして表示する
  3. WAF を選択し、ON / OFF を切り替えて OFF にする
  4. WordPress で「閲覧できません ( Forbidden access )」と表示されて保存できなかったコンテンツを改めて保存する(成功します)
  5. WAF は大事なセキュリティですので、保存操作が終わったらすぐに設定を ON に戻す

■ Xserver(エックスサーバー)レンタルサーバーの場合

Xserver

  1. Xserver の管理画面にログインする
  2. 「サーバー管理」→「セキュリティ」→「WAF設定」を選択する
  3. XSS 対策を選択し、ON / OFF を切り替えて OFF にする
  4. WordPress で「閲覧できません ( Forbidden access )」と表示されて保存できなかったコンテンツを改めて保存する(成功します)
  5. WAF は大事なセキュリティですので、保存操作が終わったらすぐに設定を ON に戻す

■ mixhost レンタルサーバーの場合

mixhost は「閲覧できません」がほぼ表示されることがありません。

そのため、本設定変更が必要になることはほとんどありませんが、もし発生した場合は次の操作で切り替えることが可能です。

mixhost

mixhost のコントロールパネル
  • mixhost の管理画面から「コントロールパネル」を表示する
  • 「ModSecurity」を選択する
mixhost の セキュリティ画面
  • 「無効」リンクを押下する(無効に設定できる)
  • WordPress で「閲覧できません ( Forbidden access )」と表示されて保存できなかったコンテンツを改めて保存する(成功します)
  • WAF は大事なセキュリティですので、保存操作が終わったらすぐに設定を ON に戻す

対処方法:恒常的に WAF の除外設定を行う

恒常的に特定の操作、または特定の接続元IPアドレスからの操作のみ、WAF の設定を除外する方法もあります。

(恒常的な開放はそれ自体がセキュリティの甘さにつながることも懸念して、設定有無をご検討ください。)

■ 「.htaccess」 で 接続元 IP アドレスを記載する方法

「,htaccess」ファイルに直接、接続元IPアドレスの除外を記載します。

■ 記載例

<IfModule mod_siteguard.c>
SiteGuard_User_ExcludeSig ip(xxx.xxx.xxx.xxx)
</IfModule>

■ 「Site Guard」プラグインの「WAFチューニングサポート」機能を使う

「Site Guard」プラグインでは、WAF の過去の除外操作からルール(シグネチャ)を参照して、個別の除外設定を行うことができます。

本機能を利用する場合は、レンタルサーバーのサービス側で、JP-Secure製の WAF ( SiteGuard Lite ) が導入されている必要があります。

■ お名前ドットコムレンタルサーバーの WAF 除外設定

お名前ドットコムレンタルサーバーサービスでは、WAF の過去の除外操作から個別に除外設定を行うことができます。

  1. レンタルサーバーのコントロールパネルにログインする
  2. セキュリティタブをクリックして表示する
  3. WAF を選択し、検知ログ設定から、過去の攻撃の一覧を確認する
  4. 除外したい操作の、ON / OFF を切り替えて ON にすることで、該当の操作を除外設定する

ポイント

「お名前ドットコム レンタルサーバーサービス」はサーバーサービスとしては有名ではありませんが、細かい設定ができユーザーライクで使いやすい管理画面、充実のサポート、安心のセキュリティなどを誇り、目立ってはいませんが使いやすいサーバーサービスです。WAFの除外設定も細かい設定ながらサポートしており、画面上の設定も見てわかるような簡易さです。

まとめ

WordPress で(主にコンテンツにスクリプトを書いて)保存した場合に、「閲覧できません」と表示されて保存ができない場合があります。

  • 「閲覧できません」エラーは WAF セキュリティが有効になっているため発生します
  • 「WAF」セキュリティは、サイト外からの攻撃に対する防御システム です
  • 「閲覧できません」エラーを回避する場合は、一時的に WAF 設定を OFF にするか、恒常的に除外設定を行います

「閲覧できません」エラーを初めてみたときは焦りますが、簡単に回避できますね。

WordPress の情報、テクニック一覧はこちらをクリック!










ブログランキング・にほんブログ村へ  




Presented By Irojiro Haraguro .Com