WordPressカスタマイズ“何かうまくいかなかったようです”はWAF・ファイアウォールを疑え

WordPress管理画面 > カスタマイズで設定を保存し公開しようとしたところ、下記のエラーメッセージが表示され設定を保存することができませんでした。

追加CSSを追加しスタイルを当てたかったのですが、WordPressカスタマイズ画面からのカスタマイズ内容の保存先はCSSファイル等ではなく、データベースにそのまま保存される形になります。

以前にはこのようなエラーはなく、問題なくカスタマイズを保存公開できていたので、ファイルやフォルダのパーミッション権限等ではなさそう。

調べてみると、基本的には下記3つが原因であることが多いようです。

上記3つの原因可能性のうち、「3. プラグイン不具合による干渉」は、プラグイン同士のバージョンが噛み合っていなかったり、ワードプレス本体とプラグインとのあいだで不具合が生じるために発生する現象のよう。

今回はそれ以外のWAF, ファイアウォール設定・ファイアウォールプラグインについて、解決した手段と併せて共有します。

WordPressカスタマイズ画面で「何かうまくいかなかったようです。時間を置いてもう一度お試しください。」と表示される原因は、多くの場合はサーバー上のWAFが変更をブロックしていることが原因のようです。

本当にWAFで弾かれているのか？その他のエラーが出力されていないか？という点を確認するため、エックスサーバーのエラーログを確認しておきましょう。

エックスサーバー > サーバーパネル > エラーログ からエラーログファイルをDLできます。

ダウンロードしたファイルをtail, lessコマンドで中身を確認してみましょう。（エディタでも確認可）

記事を調べていると、皆さん割と気軽に「WAFを全てOFFにしましょう！」と言っていますが、一定のアクセス数があったり、WordPress本体およびプラグインが全て最新ではない状態等、万全の状態でない場合にWAFをすべてOFFにしてしまうのは怖いなと感じます。

というのも、WAFをONにするのを忘れてしまったことが原因でクラッキング・ハッキング被害に遭い、WordPressサイトを一部改ざんされてしまった苦い過去があるためです…！

webセキュリティやわらか「超入門」。ハッキング被害の体験談を交えて | まほウェブ

webセキュリティやわらか「超入門」。ハッキング被害の体験談を交えて

今回はpodcast対談形式にて "webセキュリティやわらか「超入門」" のお話をしましたので、そのレジュメをご共有します。 webサイト公開時や、自前サーバーでサービスを公開するときに気になるwebセキュリティ。一般的な内容で、初心者の方向けにwebセキュリティを解説。 具体例として、オープンソースでインストールするWordPressなどを想定してお話しています。 ゲストは ...

marketing-wizard.biz

そもそもWordPressはその利用シェアゆえに攻撃対象となりやすいCMS。セキュリティ面はしっかり考慮する必要があります。

短時間で一時的にWAFをOFFにする分には（おそらく）問題はないとは思いますが、それでもその間にバックドアを仕掛けられないとも限りません。リスクは最小限にとどめるのがセキュリティの原則と思います。

このようにWAFをOFFにする行為にはリスクがあります。簡単なリスク低減策としてOFFにするWAF機能項目をエラーに関連しそうなものにだけに絞り込む、ということがオススメです。

エックスサーバーのWAF設定は下記画面の箇所から設定可能。

セキュリティ > WAF設定 > ドメイン名を選択 > WAF設定項目

下画像のように、6項目の中から設定項目につきオンオフを設定できます。

今回のWordPressカスタマイズ画面 “何かうまくいかなかったようです。時間を置いてもう一度お試しください。”のエラーメッセージにおいては、エックスサーバーのWAF設定では下記をOFFとすると良さそうです。

• XSS対策
• SQL対策
• PHP対策

上記3つの項目をOFFに。それ以外はONにしたままでも今回のエラー動作に影響はないでしょう。

なお、WAFは設定変更を行ってから反映されるまでに時間がかかります。10分から30分程度ということが多いようです。

サーバーパネル上WAF設定「反映待ち」の表示が消えるまでには3.4時間ほどかかりました。しかし実際には「反映待ち」の表示が消えずとも設定が反映されています。

私の場合でも30分ほど経過した頃から、WordPressカスタマイズ画面において「何かうまくいかなかったようです。時間を置いてもう一度お試しください。」のエラーがなくなり、無事に変更を保存・公開させることができるようになりました。

エラーを解消できたら、WAF設定をONに戻すことを忘れないように。

CDNを利用している場合には、CDNのファイアウォール設定も同時に見直しましょう。

CloudFlareは、レンタルサーバーWAFの画一的なブロックとは異なり、WAFにもホワイトリストを登録することができます。

そこで、今回は自分のグローバルIPをホワイトリストに登録し、WordPressカスタマイズ設定の公開時に自分の操作によってCloudFlareでブロックされないように設定します。

CloudFlareにログインし、対象のドメインを選択。続く画面で「ファイアウォール」を選択。

ファイアウォール > ファイアウォールルール > ファイアウォールルールを作成

次画面において、「受信リクエストが一致する場合…」の設定内容は下記にて設定。

フィールド: 送信元のIPアドレス

オペレーター: 等しい

値: 自分のグローバルIPアドレスの値

現在の自身のグローバルIPアドレスの値は下記サイトで確認。

アクセス情報【使用中のIPアドレス確認】

アクセス情報【使用中のIPアドレス確認】

あなたのアクセスしているIPアドレス情報などをENVとJavaScriptで取得し表示します。あなたのIPアドレスからポート疎通・ping疎通・DNS索引・WHOIS情報も取得できます。

www.cman.jp

または、下記コマンドでも値が帰ってきます。

Copy

$ curl ipecho.net/plain; echo

macでIPアドレスをコマンドで確認する方法 - Qiita

「以下を実行…」のアクション選択においては「許可」を選択。

完了したら「デプロイ」で展開します。

これで自身の操作においてCloudFlareのファイヤーウォールにブロックされる事はなくなりました。

なお、CloudFlareではファイアウォールのホワイトリストにIPアドレスを一括登録させることができます。

WordPressカスタマイズを加える際、Cloudflareのキャッシュに保存されたデータが開発の妨げになることがあるので、キャッシュを一時的にバイパスさせる「開発モード」をONにさせておきましょう。

該当ドメイン > 概要の画面右側「開発モード」にチェックを入れます。

チェックを入れると、「開発モードがアクティブです」というメッセージが表示されます。開発モードは3時間後に自動的にOFFになるようです。

さて、ここまでオリジンサーバーでのWAF設定、CDNでのファイアウォール設定をみてきました。

上記はどちらもサーバー側でのファイアウォールですが、WordPressプラグインにおいても同様にファイアウォール設定をもつセキュリティプラグインが存在します。

たとえば下記。

これらにおいても、その提供するファイアウォール設定において自身のIPアドレスをホワイトリスト登録しておくと良いでしょう。

成果をだすWebサイト制作、企画・戦略から伴走するWeb制作を実施しています。 SEOを意識した制作や、制作後の運用・成果を見据えたWebサイトづくりが得意です。

🍀 Webサイト制作とSEOの専門家 - Marketing Wizard

上リンクには私のプロフィール・実績を掲載しています。ご確認のうえ、お気軽にご相談ください。

この記事の気になった箇所を読み返す: