さくらインターネットのレンタルサーバーで困ってること・2017年

この記事は「さくらインターネットwordpressでログインできなくなった。」の記事タイトルを変更し、レンタルサーバー利用中で困っている事象を随時記録するページにしました。

.HTACCESSにfavicon設定しようとすると500エラーが出る

気がついた日:2017年7月下旬
現状:確認中。

このサイト、htmlページ多すぎるし、今後も増やす予定あるので「.htaccess」にfavicon.icoとiPhoneのアイコン設定しようとしたら500エラーが出た。
ファイアウォール解除しても駄目、配下フォルダだけに入れても適用しても駄目。
なんかルールあるのかと思ってgoogle検索したんですけど今のところ原因わからない。
色々記述の仕方があるみたいなので何がいけないか現状確認中。

2017年9月1日追記

headerに特に記述せず、「favicon.ico」だけトップディレクトリに放り込んだだけで放置してしばらくしたら、faviconは反映された。なんでだ。いまどきは記述特にしなくても反映されるのか?情報足りなくて今確認中。

wordpressにログインできなくなった。

気がついた日:2017年2月4日
状況:原因の切り分けをしてみたが、改善無し。SQL側の何かが影響、または、簡単インストール時の初期設定が影響してるかもしれないと思っている。現状データーベース全消しして入れなおすぐらいしかないかもしれない?

私はこの「もちるきやがれ」というブログを、さくらインターネットのスタンダードプラン、wordpress簡単インストールで作りました。
wordpressのログイン・セキュリティ対策ではもともと入っていた「All In One WP Security」を使って、ログインページのアドレスも書き換えて使ってました。
1月末ごろwordpress本体と、All In One WP Securityの更新お知らせが来たので、アップデートをして、今日記事見直ししようとしてログインボタン押したらこんな画面に。

えらー。

Forbidden
The server refuse to browse the page.
The URL or value may not be correct. Please confirm the value.

google翻訳[サーバーはページの参照を拒否します。
URLまたは値が正しくない可能性があります。 値を確認してください。]

TIME: 1486168212.355786 (2017-02-04 09:30:12 (+0900))
METHOD: POST
PATH_QUERY: /motiaruk/?(ログインURL)

SAKURA Internet Inc.

なんでだ。
というわけで、万が一に備えFTPクライアントソフトでフォルダバックアップとって、原因確認開始。
1時間ちょっと様子見て、理由がわかりました。

コントロールパネルの運用に便利なツール「webアプリケーションファイアウォール」と「国外IPフィルタリング設定」をオフにしてみる

真っ先に疑ったのがさくら独自の「webアプリケーションファイアウォール」と「国外IPフィルタリング設定」です。
さくらに乗り換えたときに「プラグイン動かない!なんでだ!」と悩んでたときの経験です(笑)
(参考:さくらインターネット(スタンダード)にサイトを移転した過程を書いてゆくよ

引用:さくらコントロールパネルより
Webアプリケーションファイアウォールの設定
Webアプリケーションファイアウォールの設定画面です。
WebアプリケーションファイアウォールはJP-Secureの「SiteGuard」を使用しています。

本機能を有効にすることにより、ソフトウェアの動作やインストールに影響が出る場合があります。

Webアプリケーションファイアウォール(WAF)の設定 – さくらのサポート情報より
https://help.sakura.ad.jp/hc/ja/articles/206206661#ac01

さくらのサポート情報 レンタルサーバ アクセス制限
国外IPアドレスフィルタ– さくらのサポート情報より

https://help.sakura.ad.jp/hc/ja/articles/206054272-国外IPアドレスフィルタ

結果的にどちらがログインを妨げていたかというと、「ファイアウォール」側でした。

すべて「利用しない」にチェックを入れて変更ボタンを押す。

全部無効化したらログインできるようになりました。
All In One WP Security(バージョン 4.2.5)側が邪魔してるのかなと思ってファイアウォールON、プラグインOFFにしてみたら、やはりログインがエラーになるためプラグイン側ではないこともわかりました。

ただ、もう一個の漫画サイトとして作ったwordpressはファイアウォールON状態でも動いていたので、この「もちあるきやがれ」に使ってる要素の何かが相性悪いのか、壊れたのか、現在不明です。

2017/02/16追記:2/11にアタックがきたようです。

今回脆弱性情報のこともあり、当分ファイアウォールをONにして、ログイン時だけoffにする措置とって様子見してたんですが、2/11にブルートフォースアタックのようなものがきてたようです。

2017/02/11 12:01:20~2017/02/11 12:29:22に「 クロスサイトスクリプティングの試みの可能性」で160回くらいきてブロックされてた。


さくらの注意喚起が更新されてました。

https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1528

WordPressをご利用のお客様へWAF設定のご案内 2017年2月15日 お客様各位 さくらインターネット株式会社

さくらインターネットでwordpress利用中の方はファイアウォールをオンにしておくといいです。
こういうのがデフォルトでついてると安心感ありますね。

2017年7月17日追記

プラグインアップデートしたら「admin.php」が真っ白になってダッシュボードすら出なくなった。
(アップデートしたプラグインはAkismet Anti-Spam (アンチスパム)とEWWW Image Optimizerです)
なんでだっぁぁ▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわああああああ
というわけでデバックモードオンにしてみた。

参考
システム開発と英語勉強の日々 はてなブログ
[Wordpress]Wordpressで管理画面が真っ白になった場合にすること

デバックモードオンにすると、「どれがエラーはいてるか?」というのを確認できるんですが、admin系のエラーは出ておらず。

Strict Standards: Declaration of KtaiService_Other::in_network() should be compatible with KtaiServices::in_network($networks = NULL, $allow_search_engine = false) in /hogehoge/wp-content/plugins/ktai-style/operators/base.php on line 2459

Deprecated: Non-static method KtaiServices::get() should not be called statically, assuming $this from incompatible context in /hogehoge/wp-content/plugins/ktai-style/ktai_style.php on line 117

Notice: Undefined variable: uid in /hogehoge/wp-content/plugins/ts-webfonts-for-sakura/ts-webfonts-for-sakura.php on line 67

・・・あれ、function.phpとかのエラーじゃない??
他の方法考えないといけないみたいだ、ということで

1.バックアップを取って、
2.「wordpress公式サイト」の本体zip落としてきて、解凍して、
3.公式の「admin」フォルダ内にあるphpファイルを自分のサーバーに更新アップロードして、
4.wordpressのダッシュボード戻ったーホッ…(*゚д`)=з
5.でも相変わらずさくらのWebアプリケーションファイアウォールをオフにしないとダッシュボードにアクセスできない。

参考:

何でこうなったのかは・・・まあプラグインの更新の影響かなーとは思うんですが。以前から管理画面が出てこないので、だんだんどっかsql側とか壊れてるんじゃないかなーと思いはじめました。

2017年9月1日追記

参考になりそうな記事があったので、これを取っ掛かりに調整検討中。

さくらのレンタルサーバーでWordPressを運用する時のWAFの設定と注意点
-Gatespace’s Blog
https://gatespace.jp/2013/07/25/sakura-wordpress-waf/

↑上記記事を要約すると、「WAFはwordpressのダッシュボードと相性が悪いのでチューニングが必要」との状態。

トップへ戻る