-
-
WordPerfectをさくらインターネットとロリポップとで使用しています。しかし、WordPress 管理画面の一般設定で、WorPress のアドレスとサイトアドレスを http:// から https:// に設定の変更保存すると、さくらインターネットのほうはすぐに設定保存できましたが、ロリポップの方は、(WAFを「無効」にして20分以上経過してから何度やっても)保存されません。(エラーメッセージはでずに、再ログオン画面が表示されます。何度再ログオンしてやっても、同じです。)
https://365d-24h.main.jp/wp-admin/options-general.php
ロリポップサーバーの担当者と何度もやりとりしましたが(WAFが「無効」になっているのもロリポップの担当者は確認済)、WAFが原因でないとしたら WordPress 側の問題である「可能性が大きい」ので、こちらのフォーラムで問い合わせてくれとの返事でした。(そうして、「WordPress側から弊社に確認事項がございましたらユーザー専用ページより再度ご連絡いただきたく存じます。」とのことです。)
リダイレクトの設定にしているので、実質的な問題はないですが、WorPress の管理画面で http:// のままになっているのは気持ちがよくありません。ご教授のほどよろしくお願いします。ヘルプの必要なページ: [リンクを見るにはログイン]
ご返答ありがとうございます。
解決?したみたいなのでご報告いたします。■ブラウザコンソールのエラー内容
Failed to load resource: the server responded with a status of 403 (Forbidden)■こちらでぐぐるとWAF関係のエラーだとでてくるのでConoHaのWAF確認
ログに私のIPで下記エラーがはきだされている
SQLインジェクションからの防御22(and/or,</>)
クロスサイトスクリプティングの試みの可能性11({{x:window.onunload=alert}})■解決法
.htaccessに以下を追加
参考→ https://kobewing.com/wordpress/t173/#Gutenberg対策 start-------- <IfModule mod_siteguard.c> SiteGuard_User_ExcludeSig ip(エラー元のIP) </IfModule> #Gutenberg対策 end--------因みに以下ですが
また本日以下のような現象もでるようになってしまいました。
1)一時的にbogoを無効化すると編集したページのスラッグに-2とつく
2)最新の投稿で抜粋が自動ででない。1)bogogが有効になっていれば発生しないのでOK
2)sectionブロックでは抜粋が自動表示されませんが、カラム等ではでてくるのでよくわかりませんがOKです以上プラグイン側の問題ではなくWAFのようでした。
今回はコンソールの確認等教えていただきありがとうございました。コメントありがとうございました。回答が遅くなってしまい申し訳ありません。
`→この条件は間違いありませんか?
もし正しいとした場合、例えば
WAFを停止する
英文を半角スペース3つ以内にする
のいずれかの対応を行うだけで正常に作動する事になりますが、合っていますでしょうか。`はい、WAFを停止すれば問題なく投稿できます。
英文を入力(半角スペースが4つ以上含まれる場合)
これについては、曖昧なところもあったので、コメント頂戴した後、今一度検証してみました。
また、サーバー側のエラーログも調べました。そして、一部訂正させていただきます。
お教えいただき、サーバー側のエラーログも調べてみたところ、
SQLインジェクションからの防御9(or…=, and…=)
との記載がありました。よって、再現条件は、
◯WAF(SiteGuard Edition)有効
◯カスタム投稿
◯Gutenbergブロックエディターを使用
●英文にjavascriptの式でや演算子のコードが英単語として入っている場合
だと思われます。
例えば、and、or、true、false、function などです。
他にも再現条件があるかもしれません。英文入力の場合、andやorは使う場面が多いでしょうから、
困ったな、と思っています。。。@shokun0803さん
@munyaguさん
コメントありがとうございました。レスポンスメッセージは、
/wp-includes/js/dist/api-fetch.min.js?ver=XXXXXXXX
でのエラーにより、
/wp-json/wp/v2/[カスタム投稿スラッグ]/[POST ID]?_locale=user
が403
というものでした。また、「問題解決のためのチェックリスト」も試してみました。
共用レンタルサーバーを利用している場合、サーバー会社から提供されるWAFのコントロールパネルはないことが多く(設定できるのは有効/無効の切り替えのみ)、またシグネチャを公開していないところもあります。
また、これは記事(投稿)のIDによってシグネチャが変わるので、シグネチャを指定しての除外も現実的ではないな、、、と感じている次第です。いろいろ試しているなかで、もうひとつ分かったことがあったので共有させていただきます。
通常の投稿ではこのような事象は起きず、カスタム投稿でだけ、でした。◯WAF(SiteGuard Edition)有効
◯カスタム投稿
◯Gutenbergブロックエディターを使用
◯英文を入力(半角スペースが4つ以上含まれる場合)
以上の条件が揃うようなことはそうそうないとは思うので、
・設定のカスタムが行えるWAFを導入する
・固定IPアドレスでのWAFの除外
・カスタム投稿ではREST APIを無効にする(=ブロックエディタを使わない)
というところで検討しつつ、対処するしかないのかな、と思っています。
(しかし、なぜ投稿では起きなくて、カスタム投稿でだけ起きるのか、、、、不思議です。)
