ありがとうございます。
また、返信が遅れまして申し訳ありません。
こちらを確認する前に、WAFが問題であることがわかりまして、回答を見てやはりという感じでした。
残念ながらWAFは止められないので、代替案でなんとか乗り切るつもりです。
ご回答ありがとうございました。
こんにちは
サーバーにWAF機能があるのであれば、停止してみてください。
また、サーバーにエラーログなど出力されていないかも確認してみてください。
管理画面の更新で403がでるのは、サーバーのセキュリティの誤認の可能性がありそうですが、他にも原因あるので不明です
ロリポップやお名前ドットコム系サーバーでしたら、WAFが原因かもしれません
サーバー名 403
などで検索してもらえますか?
こんにちは
WAF を有効にされているなら、一時的に停止してみてはと思います。
https://lolipop.jp/manual/user/waf-set/
@munyaguさん。コメントありがとうございます。
ブログにJavaScriptのコードを貼り付けたからといって、SSH出来なくなることはありません。
再度、管理画面からhttps://e-yota.com/ にAmazon商品検索ウィジェットのスクリプトコードをはると、
今度は、商品検索ボックスを表示させることができました。
VPSで運用されているのであれば全てのログを見ることができると思いますので、該当時間帯のOSのログなどを見て何が起こっていたのかを調べてみてください。
# cd /var/log/httpd/access_log
で該当時間帯を確認すると、
::1 - - [12/Sep/2017:19:34:35 +0900] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips (internal dummy connection)"
::1 - - [12/Sep/2017:19:34:37 +0900] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips (internal dummy connection)"
::1 - - [12/Sep/2017:19:34:42 +0900] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips (internal dummy connection)"
という記録が大量に残っていました。上記記録の前後に、http://●●●.com/robotというような不特定多数のbotURLからGETリクエストがありましたので、おそらくDDoS攻撃を受けていたものかと思われます。
運用しているVPSは無料でWAF(Web Application Firewall)の導入ができます。早急にインストールするようにいたします。アドバイスありがとうございました!
まさにご指摘の通りWAFでした。オフにしたらエラーが出なくなりました。(ちなみにファーストサーバーです)。以前はエラーが出なかったのに、いつオンになってしまったのか、不思議です。ありがとうございました。
CG
(@du-bist-der-lenz)
WAFが機能しているサーバーではないでしょうか。メニューを新規作成したり、ウィジェットにコードを入力すると保存されない現象ではないですか。
まず、有料テーマでは検証できないので、TwentySixteen,TwentySeventeenでも、起こるでしょうか。テーマの問題ではないとは思いますが手筋です。
CG様
kimipooh様
返信ありがとうございます。
解決しましたので、経過をお知らせします。
WAFを無効にし、1時間ほど何度試してもダメでした。
http://ドメイン.jp/wp-admin/post.php?post=xxx&action=edit
ブラウザの履歴から、個別の投稿の編集ページには入ることができたので、
http://ドメイン.jp/wp-admin/post.php
思いつきで、ブラウザアドレスバーに、これをたたいてみると、
http://ドメイン.jp/wp-admin/edit.php
仕組みはわかりませんが、アドレスバーのアドレスがこれに変わることがわかり、
たたいてたたいてしてましたら、エラー画面だったのが、
何度目かのたたきで、ぽっと、投稿一覧画面があらわれました。
問い合わせ中だったロリポップのサポートのほうに、解決の連絡とともに、
何か操作していただいたのかと尋ねたところ、何もしていない、とのことでした。
WAFを無効にしたおかげか、たたいてたたいてしたためか、
よくわからないままおかげさまで解決しました。
ありがとうございました。
一度、 https://lolipop.jp/manual/user/waf-set/
を参考に WAF(Webアプリケーションファイアウォール) が無効になっているかチェックしてみてはと思います。
もし有効なら無効にしてテストしてみてください。
こんにちは
InstantWordPressを使ったことがないのですが、WordPressのバージョンを元のバージョンに戻してはどうでしょうか。
Instant WordPressがどういう仕組みかは分かりませんが、wordfence-waf.phpが存在するはずと示されているディレクトリがpluginディレクトリ内ではなく、ディレクトリの読み替えのために4.8では動かない機能を使っている可能性もあります。
最新のInstantWordPressに含まれているWordPressは4.2.4なので、以下からダウンロードして解凍してください。
https://wordpress.org/wordpress-4.2.4.zip
InstantWordPressのディレクトリ構造が分からないのですが、wp-adminとwp-includesを解凍したファイル中のもので上書きしてください。
これを実施したからといって元に戻る保証はありませんので、その点ご了承ください。
ご返信の程ありがとうございます。
>>munyagu さん
プラグインの停止とテーマの変更をしてみましたが、解決できませんでした。
WAFですが、レンタルサーバーなのでこちらではアレコレできません。なお、同じサーバーに設置した、他のワードプレスでは、先の症例は出ていません。普通に稼動しています。
>>ishitakaさん
「wordpress セッション 切れる」で検索して、いくつか処置してみましたが、問題の解決には到りませんでした。
また、ご教示のURLを参考に、「wp-config.php」を見て、あやしい宣言文を削除してみましたが、解決には到りませんでした。
なお、普通の意味での「セッション切れ」ですが、試しに、管理画面を5分~10分放置してみても、「セッション切れ」は発生していません。新規投稿やらタグ設定やらができています。
しかし、わかったことがあります。
ある特定のPHPファイルのときだけ、ログイン画面ループが起きているようです。
症例『クリックすると「ログイン画面」が表示され、ずっと「ユーザー名」と「パスワード」の入力が求められ、入力してもログイン画面のループ』の発生する症状は、「設定→一般」のところでも発生することが判明しました。
当該「設定→一般」は「URL/wp-admin/options-general.php」を呼び出しています。
当該「設定→一般」では、先の「URL/wp-admin/update-core.php」をクリックしたのと同じ『ログイン画面のループ』状態となっています。
そして、当該「options-general.php」が絡んだものは、たとえば、プラグインの「URL/wp-admin/options-general.php?page=popular-posts-plugin」なども、同様のログインループ現象が生じています。
ちなみに、他の「設定」では、たとえば、「投稿設定」や「表示設定」は、正常に動いている、といった塩梅です。
今日、判明したことは、以上です。何か対処法やヒントなどありましたら、書き込みの方、宜しくお願いします。