さくらインターネットのレンタルサーバーで困ってること・2018年~2020年までの軌跡
この記事は「さくらインターネットwordpressでログインできなくなった。」の記事タイトルを変更し、レンタルサーバー利用中で困っている事象を随時記録するページにしました。
2017年からずっと困っていて、ついに2018年まで持越しされました(笑)
そして2020年1月に解約したので、謎のままで終わっている。
.HTACCESSにfavicon設定しようとすると500エラーが出る
気がついた日:2017年7月下旬
現状:確認中。
このサイト、htmlページ多すぎるし、今後も増やす予定あるので「.htaccess」にfavicon.icoとiPhoneのアイコン設定しようとしたら500エラーが出た。
ファイアウォール解除しても駄目、配下フォルダだけに入れても適用しても駄目。
なんかルールあるのかと思ってgoogle検索したんですけど今のところ原因わからない。
色々記述の仕方があるみたいなので何がいけないか現状確認中。
2017年9月1日追記
headerに特に記述せず、「favicon.ico」だけトップディレクトリに放り込んだだけで放置してしばらくしたら、faviconは反映された。なんでだ。いまどきは記述特にしなくても反映されるのか?情報足りなくて今確認中。
2020年1月
結局謎のまま解約に至った。
wordpressにログインできなくなった。
気がついた日:2017年2月4日
現状:確認済、2020年1月解約済。
状況:原因の切り分けをしてみたが、改善無し。SQL側の何かが影響、または、簡単インストール時の初期設定が影響してるかもしれないと思っている。現状データーベース全消しして入れなおすぐらいしかないかもしれない?
私はこの「もちるきやがれ」というブログを、さくらインターネットのスタンダードプラン、wordpress簡単インストールで作りました。
wordpressのログイン・セキュリティ対策ではもともと入っていた「All In One WP Security」を使って、ログインページのアドレスも書き換えて使ってました。
1月末ごろwordpress本体と、All In One WP Securityの更新お知らせが来たので、アップデートをして、今日記事見直ししようとしてログインボタン押したらこんな画面に。
Forbidden
The server refuse to browse the page.
The URL or value may not be correct. Please confirm the value.google翻訳[サーバーはページの参照を拒否します。
URLまたは値が正しくない可能性があります。 値を確認してください。]TIME: 1486168212.355786 (2017-02-04 09:30:12 (+0900))
METHOD: POST
PATH_QUERY: /motiaruk/?(ログインURL)SAKURA Internet Inc.
なんでだ。
というわけで、万が一に備えFTPクライアントソフトでフォルダバックアップとって、原因確認開始。
1時間ちょっと様子見て、理由がわかりました。
コントロールパネルの運用に便利なツール「webアプリケーションファイアウォール」と「国外IPフィルタリング設定」をオフにしてみる
真っ先に疑ったのがさくら独自の「webアプリケーションファイアウォール」と「国外IPフィルタリング設定」です。
さくらに乗り換えたときに「プラグイン動かない!なんでだ!」と悩んでたときの経験です(笑)
(参考:さくらインターネット(スタンダード)にサイトを移転した過程を書いてゆくよ)
引用:さくらコントロールパネルより
Webアプリケーションファイアウォールの設定
Webアプリケーションファイアウォールの設定画面です。
WebアプリケーションファイアウォールはJP-Secureの「SiteGuard」を使用しています。本機能を有効にすることにより、ソフトウェアの動作やインストールに影響が出る場合があります。
Webアプリケーションファイアウォール(WAF)の設定 – さくらのサポート情報より
https://help.sakura.ad.jp/hc/ja/articles/206206661#ac01
さくらのサポート情報 レンタルサーバ アクセス制限
国外IPアドレスフィルタ– さくらのサポート情報よりhttps://help.sakura.ad.jp/hc/ja/articles/206054272-国外IPアドレスフィルタ
結果的にどちらがログインを妨げていたかというと、「ファイアウォール」側でした。
全部無効化したらログインできるようになりました。
All In One WP Security(バージョン 4.2.5)側が邪魔してるのかなと思ってファイアウォールON、プラグインOFFにしてみたら、やはりログインがエラーになるためプラグイン側ではないこともわかりました。
ただ、もう一個の漫画サイトとして作ったwordpressはファイアウォールON状態でも動いていたので、この「もちあるきやがれ」に使ってる要素の何かが相性悪いのか、壊れたのか、現在不明です。
2017/02/16追記:2/11にアタックがきたようです。
今回脆弱性情報のこともあり、当分ファイアウォールをONにして、ログイン時だけoffにする措置とって様子見してたんですが、2/11にブルートフォースアタックのようなものがきてたようです。
さくらの注意喚起が更新されてました。
https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1528
WordPressをご利用のお客様へWAF設定のご案内 2017年2月15日 お客様各位 さくらインターネット株式会社
さくらインターネットでwordpress利用中の方はファイアウォールをオンにしておくといいです。
こういうのがデフォルトでついてると安心感ありますね。
2017年7月17日追記
プラグインアップデートしたら「admin.php」が真っ白になってダッシュボードすら出なくなった。
(アップデートしたプラグインはAkismet Anti-Spam (アンチスパム)とEWWW Image Optimizerです)
なんでだっぁぁ▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわああああああ
というわけでデバックモードオンにしてみた。
参考
システム開発と英語勉強の日々 はてなブログ
[Wordpress]Wordpressで管理画面が真っ白になった場合にすること
デバックモードオンにすると、「どれがエラーはいてるか?」というのを確認できるんですが、admin系のエラーは出ておらず。
Strict Standards: Declaration of KtaiService_Other::in_network() should be compatible with KtaiServices::in_network($networks = NULL, $allow_search_engine = false) in /hogehoge/wp-content/plugins/ktai-style/operators/base.php on line 2459
Deprecated: Non-static method KtaiServices::get() should not be called statically, assuming $this from incompatible context in /hogehoge/wp-content/plugins/ktai-style/ktai_style.php on line 117
Notice: Undefined variable: uid in /hogehoge/wp-content/plugins/ts-webfonts-for-sakura/ts-webfonts-for-sakura.php on line 67
・・・あれ、function.phpとかのエラーじゃない??
他の方法考えないといけないみたいだ、ということで
1.バックアップを取って、
2.「wordpress公式サイト」の本体zip落としてきて、解凍して、
3.公式の「admin」フォルダ内にあるphpファイルを自分のサーバーに更新アップロードして、
4.wordpressのダッシュボード戻ったーホッ…(*゚д`)=з
5.でも相変わらずさくらのWebアプリケーションファイアウォールをオフにしないとダッシュボードにアクセスできない。
参考:
何でこうなったのかは・・・まあプラグインの更新の影響かなーとは思うんですが。以前から管理画面が出てこないので、だんだんどっかsql側とか壊れてるんじゃないかなーと思いはじめました。
2017年9月1日追記
参考になりそうな記事があったので、これを取っ掛かりに調整検討中。
さくらのレンタルサーバーでWordPressを運用する時のWAFの設定と注意点
-Gatespace’s Blog
https://gatespace.jp/2013/07/25/sakura-wordpress-waf/
↑上記記事を要約すると、「WAFはwordpressのダッシュボードと相性が悪いのでチューニングが必要」との状態。
2018年1月19日追記
実はこの「WAFはwordpressと相性悪い」はずーーーーーっとまえから言われていたようです。
もっというと、「WAFはCMSコンテンツと相性悪い」というのが正解のようです。
検索したらたくさん出てきました。
↓concrete5もcmsなんですが、WAFと相性が悪いようです。
concrete5フォーラムより
HTML ブロック等で 403 エラーが出るとき WAF を確認
https://concrete5-japan.org/community/forums/chat/post-11267/
<引用>
5.7.x で Chrome の Developer Tools の Console で 403 の挙動を確認すると
—–
POST XXXXXXX/ccm/system/dialogs/page/add_block/submit?ccm_token=XXXXX&cID=XX 403 (Forbidden)
—–
みたいなエラーを確認できます。これは、WAF(ウェブアプリケーションファイアウォール)が、特定のコードがウェブサイトに送信されていると、攻撃をしているとみなされているためです。
(中略)
このエラーは、WAF を導入している– さくらインターネット
– ロリポップ
– ヘテムル
– Zenlogicなどでエラーが発生することを確認しています
<引用ここまで>
これはメルマガ配信ソフト(動的サイト運営)についてのフォーラム↓
MilkyStep Official Community
メルマガ・ステップメール配信ソフトMilkyStep利用者のコミュニティ よりデフォルト画面設定でプレビューがForbiddenとなり編集できません
http://milkystep.com/ms_poc/?p=1559
2012年からずっと言われていた模様なのがこの投稿記事↓の日時でわかります。
WordPressでページの更新時にエラー [解決]
Posted on 2012.9.5
http://yskw.com/blog/wordpress/380.html
「CMSとの相性が悪い」のは既知の問題として存在しているのに、webアプリケーションファイアウォール「SITE GUARD」を作っているJPsecure社側ではこの件に関しては改善も明確な対応策の提示もないようです。
(mod_rewriteを利用すると挙動が変わる恐れがあるとWAFの免責に確かに書いてありますが、同じJPsecureで作っているwordpressプラグイン「site guard」は「mod_rewrite」機能を使ってログインページを変更できるという・・どっちやねんと)
さくらのサポートにメールで問い合わせると「wordpress通常利用で問題なく動作しますので、固有事象のようです。」とのことで、やはりwordpressの設定に関して自分で対応・調整しなければならない状態。
セキュリティ上ファイアウォールは設定してね!
でもうまく使えない機能もあるからごめんね!!
セキュリティ対策は大事だってわかってます。
ただ・・・ブログという常時ログイン&スピード更新ができるのが売りのCMS機能と相性の悪いセキュリティとか・・・なんか不便ですよね。
動的サイトを運営するのであれば、WAF以外で自分のIPアドレスのみログインできるようにするとか、二段階認証とかの対処法とかでしのぐしかなさそうなのが判ってきたところです。
中々難しい問題ですね。
無料SSL証明書「Let’s Encrypt」設定が簡単じゃなかった
詳しくは別記事↓に書いてます
さくらインターネットでも無料ssl証明書が導入されたので自サイトに適用した