ロリポップサーバー上のWordPressテーマ編集で403エラーになるときのWAF設定

WordPressにはテーマファイルを管理画面から編集できる機能がある。
「ダッシュボード」＞「外観」＞「テーマ編集」。
いちいちFTPでダウンロードして、編集したものをアップロードするという手間が必要ない。管理画面内でテーマの編集ができる便利な機能。
ところがそんな機能も、いざ更新しよとすると「403エラー」になる場合がある。

WAF設定が有効になっていると更新で「403エラー」になる。

ロリポップでは不正アクセス/改ざんを防止するWAFというウェブアプリケーションファイヤーウォール機能がデフォルトで有効になっている。
管理者の編集も不正改ざんと判断され、その為におこるエラーです。

WAF(ウェブアプリケーションファイアウォール)とは。

ロリポップのページによれば、

不正アクセスによるサイトの改ざんや情報漏洩を防ぐ機能です。不正なアクセスをブロックしあなたのサイトを守ってくれます。

とのことです。
ロリポップの全プランでこのWAF(ウェブアプリケーションファイヤーウォール)が導入されています。デフォルトは「有効」です。
攻撃パターンの定義ファイルは自動更新するので、一度有効にすればあとはメンテナンスフリーで、すべてではないにしてもある程度の安全が担保されるというもの。
ページを動的に生成する文字通りウェブアプリケーションに特化したファイヤーウォールです。
それ以前、ロリポップ上でWordPressを使ったサイトのいくつかが不正アクセスにより改ざんされたことがありました。しかも攻撃者が、「改ざんしたサイトはここだよ」とそのサイトのURLを公開するという愉快犯的な事件でした。
その経験による対処なのだと思います。便利で安心な機能です。
しかし、この機能が原因で、WordPressのテーマ編集で403エラーを吐き出すことになります。

403エラー対処でWAFを一時的に無効にする

有効な機能も、サイト管理者がテーマファイルを直接編集できないというでのはいささか不便です。
FTPでファイルをダウンロードしてアップロードしてというプロセスを踏まなくても良いようにという、WordPressのせっかくのありがたい機能。
使いたい。
WAF機能を一時的に無効にする。

ロリポップのWAF設定解除の仕方

ロリポップのユーザー専用ページにアクセスします。
サイドメニューから「WEBツール」＞「WAF設定」を開きます。

「WAF設定画面」に入ったらそれを「有効にする」または「無効にする」ボタンがあるので、そちらをクリックして設定する。

「ログ参照」というボタンもあり、そちらに入るとWAFが検知した7日間のログを見ることができる。

まとめ

日常的に「テーマ編集」を行うなら話は別だが、それを行ったら再び「WAF設定」を有効にしておくべきだと思います。