Cocoonのテーマ設定を変更して「保存」ボタンを押したら、こんな画面が出た経験はありませんか?
403 Forbidden
設定したいだけなのに、なんで?ってなりますよね。私もなりました。
結論から言うと、ConoHa側のWAF(Web Application Firewall)が原因です。
設定を一時的にOFFにすれば、あっさり解決します。
原因:ConoHaのWAFがブロックしている
WAFとは、Webサイトへの不正なアクセスを自動で遮断するセキュリティ機能のことです。
ConoHa WINGにはWAFが標準で搭載されていて、これ自体はありがたい機能なのですが……Cocoonのテーマ設定を保存しようとする通信を「怪しいリクエスト」と誤検知してしまうことがあります。
その結果が、あの403エラーです。
そもそもWAFって何?
WAFとは Web Application Firewall の略で、Webサイトへの悪意ある通信を自動で検知・遮断するセキュリティ機能です。
ConoHa WINGにはWAFが標準搭載されていて、SQLインジェクションやXSSといった攻撃パターンに似たリクエストを自動ブロックします。
これ自体はとてもありがたい機能なのですが、Cocoonのテーマ設定を保存するときの通信パターンが、WAFのルールに引っかかってしまうことがあります。その結果として403 Forbiddenが返ってくる、というのが今回の現象です。
WAFについてもっと詳しく知りたい方は、こちらの記事もどうぞ。
→ 【内部リンク:WAFとは?WordPressサイトを守るセキュリティ機能をやさしく解説】(別記事・後日公開予定)
解決方法は2パターン
WAFの設定を変更するには、基本的にConoHaのコントロールパネルにアクセスする必要があります。
ただし、サイトの管理体制によってアクセス方法が変わります。
| パターン | 当てはまる状況 |
|---|---|
| パターンA:ConoHaコントロールパネルから操作する | 自分でConoHaアカウントを持っていて、ログインできる場合 |
| パターンB:ConoHa WINGコントロールパネルプラグインから操作する | クライアント管理のサイトなど、ConoHaのログイン情報がなくWordPressの管理者権限だけある場合 |
自分の状況に合うほうを読んでみてください。
パターンA:ConoHaコントロールパネルから操作する
自分でConoHaアカウントにログインできる場合の手順です。
手順1. ConoHa WINGにログインする
ConoHa WINGのログインページを開き、メールアドレスとパスワードでログインします。
手順2. WAFの設定画面を開く
ログイン後、以下の順に進みます。
サイト管理 → サイトセキュリティ → WAF
左メニューの「サイト管理」をクリックすると、サブメニューが展開されます。その中の「サイトセキュリティ」を選ぶと、WAFの設定項目が表示されます。
手順3. WAFをOFFにする
WAFの項目に「ON / OFF」の切り替えスイッチがあります。これを OFF に変更して保存します。
手順4. WordPressに戻ってCocoonのテーマ設定を保存する
WordPressの管理画面に戻り、変更したかったCocoonのテーマ設定を再度保存します。
今度は403エラーが出ずに保存できるはずです。
手順5. ConoHaに戻ってWAFをONに戻す
テーマ設定の保存が終わったら、必ずWAFをONに戻してください。
これが一番大切なポイントです。WAFはサイトを守るための機能なので、用が済んだらすぐに有効化に戻しましょう。ONに戻し忘れると、サイトがセキュリティリスクにさらされたままになります。
パターンB:ConoHa WINGコントロールパネルプラグインから操作する
「ConoHaのアカウント情報は持っていないが、WordPressの管理者権限はある」という場合
——たとえばクライアントから制作を依頼されていて、ConoHaのログイン情報は先方が管理しているケースなどが当てはまります。
このような状況では、WordPressにインストールされている 「ConoHa WINGコントロールパネルプラグイン」 からWAFの設定を操作することができます。
手順1. WordPress管理画面を開く
WordPress管理画面にログインします。
手順2. ConoHa WINGコントロールパネルプラグインを開く
左メニューに 「ConoHa WING」 という項目があります。クリックすると、ConoHaの管理機能がWordPress上で操作できる画面が開きます。
このプラグインが表示されない場合
ConoHa WINGのかんたんセットアップでWordPressをインストールした場合は、最初からインストール済みのはずです。もし見当たらなければ、プラグインの管理画面(プラグイン → インストール済みプラグイン)で「ConoHa WING」が有効化されているか確認してみてください。
プラグイン一覧に表示されていない場合は公式サイトよりインストール方法を確認してください
→https://support.conoha.jp/w/wpplugin/
手順3. WAFの設定を探す
プラグインの画面内に、セキュリティまたはWAFに関する設定項目があります。そこでWAFのON/OFFを切り替えることができます。
手順4. WAFをOFFにする
WAFを OFF に変更して保存します。
手順5. Cocoonのテーマ設定を保存する
Cocoonのテーマ設定画面に戻り、変更したかった内容を再度保存します。403エラーが出なくなっていれば成功です。
手順6. WAFをONに戻す
パターンAと同様に、保存が終わったらすぐWAFをONに戻してください。
まとめ
| 手順 | パターンA(ConoHaログインあり) | パターンB(プラグインから操作) |
|---|---|---|
| ① | ConoHa WINGにログイン | WordPress管理画面にログイン |
| ② | サイトセキュリティ → WAFを開く | ConoHa WINGプラグインを開く |
| ③ | WAFをOFFにする | WAFをOFFにする |
| ④ | WordPressでテーマ設定を保存 | Cocoonのテーマ設定を保存 |
| ⑤ | WAFをONに戻す | WAFをONに戻す |
どちらのパターンも、手順の流れは同じです。「WAFをOFFにして保存してONに戻す」これだけです。
よくある質問
- WAFをOFFにする時間はどのくらい?危険ではないですか?
-
テーマ設定を保存する数十秒〜数分だけOFFにするなら、実害はほぼありません。ただし、OFFにしている間はWAFの保護が外れた状態になるので、保存が終わったらすぐにONに戻す習慣をつけましょう。
- Cocoon以外のテーマでも同じエラーが起きますか?
-
テーマや設定内容によっては起きることがあります。ConoHa WINGで管理画面の操作中に403エラーが出た場合は、まずWAFを疑ってみてください。
- ConoHa以外のサーバーでも同じ方法で解決できますか?
-
WAFの設定場所はサーバーによって異なります。XServerやさくらインターネットをお使いの場合は、それぞれのコントロールパネルでWAFの設定を探してみてください。操作の流れ(OFFにして保存してONに戻す)は同じです。
- WAFをOFFにしても403エラーが解消しない場合は?
-
ごくまれに、他の原因(テーマファイルのパーミッション設定など)でも403が出ることがあります。WAFをOFFにしても改善しない場合はConoHaのサポートに問い合わせるか、テーマを再インストールして試してみてください。
