WordPress

marseditからWordPressに投稿できない。原因はlolipopのWAF?

更新日:

Marseditlongin

なんだか最近アドセンスの広告停止になったり、Bloggerのブログがひとつ閉鎖になったりして軽く試練を与えられているような気がします。しかし、試練を乗り越えることでパワーアップして、自分を高めることが出来ますし、試練は乗り越えるためにあるんだと思うとがんばれる気がします。

あとは、大変なことがあれば乗り越える過程もブログのネタになるので良いですけどね。

1.marseditでWordPressに投稿出来なくなった

今日、古い記事を修正するために、昔書いた記事を一つずつ確認しながら修正していたのですが、急に下の画像のような窓が現れて記事を投稿できなくなりました。

Marseditlongin

「HTTP Username」「Password」と書かれていて、とりあえずよくわからなかったので、このブログのWordPressのユーザーネームとパスワードを打ち込んでみました。しかし、ログイン出来ません。ハッキングされてパスワードでも変えられたのかと思って、ブラウザからWordPressに以前のユーザーネームとパスワードを打ち込んでみましたが、普通に入ることが出来ました。

う〜ん。

面倒。

とりあえず、作業が中断されているので、次にレンタルサーバーのロリポップのユーザー名とパスワードを打ち込んでみました。しかし、ログイン出来ず。

進まない。。。

このあたりでなんとなく理由が予測できました。 以前、WordPressのプラグインで「WPtouch」というプラグインを使おうと思った時に、いくら内容を入力して更新してもサーバー側の、

404 Error Not Found

という画面が出てきて更新出来ない時がありました。結局、その時の原因はロリポップサーバー側で最近導入した「WAF(ワフ?)」というファイアーウォールが原因でした。ロリポップの管理画面に移動して左側のサイドバーの

「WEBツール」→「WAF設定」→「無効にする」

という作業をWPtouchを更新するときに一時的にすることで更新ができるようになりました。今回、原因がなんとなくWAFのせいなんじゃないかと思って検索してみると結構同じような人がいました。

2.検索すると同じような状況の人が

「lolipop Marsedit 投稿できない」などで検索すると同じような状況の人がたくさんいました。

・Consist Of …

「ロリポップとMarsEditの組み合わせで投稿エラー」

などなど、みんな同じような感じで迷って中には二日間悩んでWAF設定に辿り着いた人もいるようです。結局、みんながやっている対策としては、WAFを無効にするということです。しかし、WAFはロリポップ側が用意してくれたセキュリティです。そんな簡単に解除して無効にしてしまって良いのでしょうか?

3.WAFって簡単に無効にしていいの?

せっかくロリポップが用意してくれたセキュリティです。使い勝手が悪いからといって簡単に無効にするのも怖いな〜なんて思って、過去のログをなんとなく見ていたらちょっとぞっとするような状況になっていました。

ロリポップ ユーザー専用ページ アクセス制限

とある日のログを見てみたら、かなりの数のアクセスが来ていました。なんですかこれは、、? この画像は実際にはまだまだ下まで続きます。

WordPressの管理画面に行くと大量のスパムコメントが来ています。まあ、コメントは認証してから表示にしているので、ブログ自体は荒らされてないですが、毎回消すのは面倒です。今回はスパムコメントが40件近くありました。

こんなことがあるとWAFを無効にするのはちょっと心配です。そんな時にやはりWAFは無効にすべきではないという記事を見つけました。

4.lolipopのWAFは無効にすべきでは無い?

HASHconsultingさんのブログでこんな記事がありました。

「ロリポップでWordPressを使っていてWAFの誤検知が出るときの対処法」

この記事では、WAFのご検知を回避するためにドメインを閲覧用と管理用で分けるという方法を提案しています。ざっと記事を読んでみましたが、結構面倒そう。この記事を書いた方はWAFの無効という手段が有効的な手法として出回ってしまうことを恐れていますが、実際にぼくが検索してみたらほとんどの記事でWAFを無効にして終了でした。すでに、この手法が正当な手段として出回ってしまっているようです。

かといって、この記事のようにドメインを分ける設定は大変そうですし、大して知識がない自分がそんなことをして、設定を変えないといけないときにまえのやり方を忘れちゃったりしてわけわからなくなるのも嫌だと思っていたらふとあることを思い出しました。WAFは以前から有効になっていたにもかかわらず、今日急に古い記事を書き換えていたらMraseditからの投稿が出来なくなったことです。もしかしたら、新しい記事は気にせずにそのまま投稿できるんじゃないか?

そう思って新規の投稿をしてみたら普通にWAFを有効にしたままで投稿できました。よかった。

根本的な解決にはなってないですが、表示用と管理用のドメインの設定をするのも大変なので、とりあえずこのままやってみようと思います。

しかし、何も考えずにセキュリティを外すのは確かに危ないかも。せっかくロリポップが用意してくれたファイアーウォールなので有効に使いたいです。

サーバーを引っ越すという方法もありますけどね。

-WordPress
-

Copyright© 清八商店 , 2020 All Rights Reserved Powered by AFFINGER5.