【403エラー?】Luxeritas使用時の注意点@ロリポップユーザー
つい先日、Luxeritasが待望のアップデートされたわけで。
色々便利過ぎて感動しながら触っていたんですが、少し気になることがあったので…。
…そう。アレである。
ロリポップユーザーなら見慣れた「403エラー」である。
Luxeritasアップデートによって新たに立ちはだかるエラー、加えて一年使ってて全く気付かなかったエラーまで…困ってしまう前に発生場所を把握し余裕を持って対処していただきたいのです。
Luxeritas@ロリポップサーバー
事の発端
ではまず事発端であるアップデート後の話から。
ショートコード作製画面でアドセンスのショートコードを作ろうとしますよね?
色々編集しますよね。保存押します。
冷静に考えれば、すぐに分かることだったんですけど何故か2,3回繰り返して時間を無駄に費やしていましたw
そうだね。WAFだね。
対処方法
ロリポップにはWAF設定という項目があります。
ウェブ・アプリケーション・ファイアウォールの略でサイトの改ざん防止の為にデフォルトではオンになっています。クラッキングツールの設置防止などのお仕事を担っているようです。
クラッキングツールとは、同じサーバー内にあるファイルの「パーミッションの変更」や「改ざんコードの埋め込み」「ファイルの設置」などの改ざんに用いられているものです。
ロリポップから
これが結構強力で頼りがいがあるんですが、管理者自身の編集にもこうしてブロックを仕掛けてくるということに。スクリプトコードなんかがよくストップかけられます。
以前はウィジェット管理画面でしか、こいつは反応しなかったようですが…(アイコンがクルクル回って保存できない現象)見出しへの自動挿入の為function.phpにアドセンスコードを貼り付けた際には問題ありませんでしたからね。
とまぁ、そんなわけで今回のLuxeritasに追加された便利機能ショートコードの作製画面においてスクリプトタグなんかを貼ろうとするとここでもWAFが反応してしまうので、編集の際はロリポップ管理画面>セキュリティ>WAF設定から該当するドメインのWAF設定を無効にしときましょう。
すぐには反映されませんので10分ほど、ヒマ潰しすることも忘れずに…。
以前からダメだったらしい箇所
最近になって気付いたWAF設定反映場所はカスタムフィールド。「なにそれ?おいしいの?」って人はたぶん大丈夫だと思うので気にしなくて良いんですが。
以前からLuxeritasを愛用している方でカスタムフィールドが保存出来ない・ボタンが無反応という事象に出くわした方はいないだろうか?
この記事で使ってる「CSShake」。ただただブルブルさせるためのものww
使用するにはスタイルシートを別途読み込む必要があるんですが、頻繁に使うものでも無いのでカスタムフィールドから<link rel~>を挿入。(こうすることで無駄な読み込みを無くして、この記事でのみスタイルシートを読み込むので、サイト全体的な表示速度は維持出来るかと。)
でプレビューで動作確認すると…
どうやらカスタムフィールドもダメだったらしいw直前にWAF設定を無効→有効にし直した後切り替えのタイムラグ中カスタムフィールドに入れて一回プレビュー→少ししてもう一回プレビュー→403エラーという奇跡的なタイミングでしたね。保存は出来たけどその後がアクセス出来なくなるという…。
カスタムフィールドに<link rel~>系を入れたつもりでも入ってなかった・もしくは追加押しても無反応と言う場合はWAFが効いているかも、というのを疑ったほうが良いです。
まとめ
ことごとくLuxeritasの便利機能を邪魔してくるので「相性悪いなぁ」と感じるのですが、裏を返せばそれだけ強力ってことなので何とも言い難い気持ちに。
常に無効、っていうのはあんまり良くないですからね。関係あるのかどうかは知りませんが過去WAF切ったままにしてた時攻撃(?)受けて、ロリポップ側でアクセス規制を掛けてくれたことがあります。
その際の復旧がクソめんどくさかったというか初心者には分かりづらかったので(.htaccessを2回書き換えた)余計な苦労がかからないように、面倒ですが都度切り替えていったほうがよろしいかも知れませんな。
追記:記事アップしてから、言葉足らずの部分があったので追記して更新しようとするとまた403エラーww何回繰り返すんだよ、自分。有効にしてたら該当記事(カスタムフィールドにスクリプト等入れた記事)の編集は出来なくなるので注意ですね。
途中で話題がすり替わっていたのでタイトル修正&ちょっと内容修正。