そろそろGoogle AdSenseでも付けてやろうかなと思い、WordPressのカスタマイズを弄っていたら、いざ保存しようとしたタイミングで「何かうまくいかなかったようです」と表示されて保存できない現象に遭遇した。
今回はその対処について書きたいと思う。
症状
Google AdSenseから提供されたソースをWordPressのカスタマイズ画面で貼り付けていざ公開ボタンを押すと「何かうまくいかなかったようです。時間を置いてもう一度お試しください」と表示されて保存ができない。また、プレビュー画面もうまく反映されておらず、ページの遷移ができないという事象に遭遇。
セッションが切れたかなと思い再度ログインし直しても事象は変わらず。
原因
結局私の環境で発生していたこの事象は「ロリポップのWAFの誤遮断」だった。
ロリポップでは標準でWAFの機能が備わっており私もその機能を有効にしていたが、今回はそのWAFが原因だった様だ。
ちなみにWAFとはWeb Application Firewallの略でアプリケーションレイヤーの攻撃を防いでくれるセキュリティ対策の事。
対処
ロリポップのWAFはロリポップユーザー専用ページからWAFのON,OFFが設定できるのでカスタマイズするタイミングだけWAFを無効化してやる。
こうする事で一時的にWAFをOFFにすることができるのでカスタマイズを保存することができる。
保存した後はWAFを再度有効化することを忘れずに。
ロリポップのWAFは意味あるのか
今回誤遮断を招いたロリポップのWAFだが、意味があるのかなと気になり本当に攻撃を遮断しているのかなと思いログを確認してみた。
数は多く無いが、私のブログにもいたずらする人がいてロリポップのWAFにて遮断している様子。
1行目はREST APIの脆弱性を突いた攻撃で、他はディレクトリトラバーサルを試してきている。本当にこの3件だけ試してきているとは思えないが、この結果はサマってあるのだろうか?
ちなみにアクセス元IPの「123.20.57.104」はベトナムのIPで私以外のサイトにもいたずらをしているIPの様だ。
不振なアクセス元を調べるのに私はAbuseDBを利用している。ユーザ登録型なので若干信憑性に疑問が残るが、報告数が多いIPは危険なIPとしてブラックリストに入れてもいいだろう。
もうしこし信憑性の高い情報ならIBM X-Force Exchangeが良いが、個人的にはIBMのサービスはUIが微妙なのとレスポンスが遅いのであまり使わない。
まとめ
WordPressのカスタマイズでエラーが出た時はセキュリティ製品を疑ってみたらという話でした。
一時的に無効化した後は再度有効化することを忘れずに。ロリポップのWAFがちゃんと機能していたのは意外だったなぁ(失礼か・・)
コメント