[備忘録]WordPress：WAFで403エラーが出た場合の対処

WAFのON／OFFで切り分けてみる

WordPressの設定を行っていると、「403エラー」となり正しく表示されないことがある。
403エラーになる原因はいくつかあるが、まずはWAF(*1)を一旦OFFにしてみて、状況が改善されるかどうか確認してみると良い。（WAFのON／OFFは、サーバーにより異なるので お使いのレンタルサーバー等でご確認ください）

(*1) WAF（Web Application Firewall）
　その名の通り、Webサイトのアプリケーション用に設けられたファイアウォール。
　不正な攻撃からサイトを守り、最近では安価なレンタルサーバーにも導入されていることが多い。

もし、WAFをOFFにして エラーが出なくなったら WAFの設定により 本来は正しいアクセスにもかかわらずエラーとして弾かれている、、ということになります。

特定のシグネチャ、またはファイルのみを除外する

エラーが出なくなるからと言って WAFをOFFにしたままでは、せっかくのファイアウォール機能が活用できない。。
そんな時は、エラーになっているシグネチャ、またはファイルのみを除外しよう。

これも お使いのレンタルサーバーによってくるが、WAFのログを参照できるのであれば、当該アクセスでどんなエラーになっているのかログから確認する。

ログには、具体的に 何のファイルに対する どんな通信が不正アクセスとして検出されたのか記録されているハズだ。

シグネチャは、例えば「xss-onX-tagall」「xss-onX-45」「xss-tag-1」「xss-tag-filter」などというキーワード。または、「00109017」「00105001」「00102001」「00101045」などといった8桁の数字で表示されている。
そしてログの中に、「https://www.xxxxx.com/wp-admin/xxxxx.php」などとファイル名が表示されている。

.htaccess にWAF除外指定

.htaccess にWAF除外指定を記述することで、対処できる。
　

(1) シグネチャ指定する場合：SiteGuard_User_ExcludeSig

シグネチャ指定する場合「SiteGuard_User_ExcludeSig」を定義する。
　
例1）全てのシグネチャ（all）を指定
ただしコレだと全シグネチャを通してしまうので意味が無い。。
————————
SiteGuard_User_ExcludeSig all
————————
　
例2）シグネチャを個別に指定
waf.logに記録されているシグネチャを指定。（複数をカンマ区切りで列挙できる）
————————
SiteGuard_User_ExcludeSig xss-onX-tagall,xss-onX-45,xss-tag-1,xss-tag-filter
————————
私が実際に試した時は、ログにあるシグネチャを指定しても、次はまた別のシグネチャでエラーとなり、、、ということを繰り返し、上記の4つまでやったところで この方法は断念。。
　

(2) ファイル名を指定する場合：xxxx.php

特定のファイルへのアクセスでエラーとなっているので、そのファイルへのアクセスを除外する設定とした。

下記定義は、xxxx.phpに対する全てのシグネチャ（all）を除外。
————————
<IfModule mod_siteguard.c>
<Files ~ "xxxx\.php$">
SiteGuard_User_ExcludeSig all
</Files>
</IfModule>
————————

これでWAFをONにしたままで、xxxx.phpに対する403エラーは出なくなった。