さくらインターネットのレンタルサーバーで困ってること・2018年

2018年1月19日

この記事は「さくらインターネットwordpressでログインできなくなった。」の記事タイトルを変更し、レンタルサーバー利用中で困っている事象を随時記録するページにしました。
2017年からずっと困っていて、ついに2018年まで持越しされました(笑)

.HTACCESSにfavicon設定しようとすると500エラーが出る

気がついた日:2017年7月下旬
現状:確認中。

このサイト、htmlページ多すぎるし、今後も増やす予定あるので「.htaccess」にfavicon.icoとiPhoneのアイコン設定しようとしたら500エラーが出た。
ファイアウォール解除しても駄目、配下フォルダだけに入れても適用しても駄目。
なんかルールあるのかと思ってgoogle検索したんですけど今のところ原因わからない。
色々記述の仕方があるみたいなので何がいけないか現状確認中。

2017年9月1日追記

headerに特に記述せず、「favicon.ico」だけトップディレクトリに放り込んだだけで放置してしばらくしたら、faviconは反映された。なんでだ。いまどきは記述特にしなくても反映されるのか?情報足りなくて今確認中。

 

wordpressにログインできなくなった。

気がついた日:2017年2月4日
現状:確認・対応中。

状況:原因の切り分けをしてみたが、改善無し。SQL側の何かが影響、または、簡単インストール時の初期設定が影響してるかもしれないと思っている。現状データーベース全消しして入れなおすぐらいしかないかもしれない?

私はこの「もちるきやがれ」というブログを、さくらインターネットのスタンダードプラン、wordpress簡単インストールで作りました。
wordpressのログイン・セキュリティ対策ではもともと入っていた「All In One WP Security」を使って、ログインページのアドレスも書き換えて使ってました。
1月末ごろwordpress本体と、All In One WP Securityの更新お知らせが来たので、アップデートをして、今日記事見直ししようとしてログインボタン押したらこんな画面に。

えらー。

Forbidden
The server refuse to browse the page.
The URL or value may not be correct. Please confirm the value.

google翻訳[サーバーはページの参照を拒否します。
URLまたは値が正しくない可能性があります。 値を確認してください。]

TIME: 1486168212.355786 (2017-02-04 09:30:12 (+0900))
METHOD: POST
PATH_QUERY: /motiaruk/?(ログインURL)

SAKURA Internet Inc.

なんでだ。
というわけで、万が一に備えFTPクライアントソフトでフォルダバックアップとって、原因確認開始。
1時間ちょっと様子見て、理由がわかりました。
 
 

コントロールパネルの運用に便利なツール「webアプリケーションファイアウォール」と「国外IPフィルタリング設定」をオフにしてみる

真っ先に疑ったのがさくら独自の「webアプリケーションファイアウォール」と「国外IPフィルタリング設定」です。
さくらに乗り換えたときに「プラグイン動かない!なんでだ!」と悩んでたときの経験です(笑)
(参考:さくらインターネット(スタンダード)にサイトを移転した過程を書いてゆくよ

引用:さくらコントロールパネルより
Webアプリケーションファイアウォールの設定
Webアプリケーションファイアウォールの設定画面です。
WebアプリケーションファイアウォールはJP-Secureの「SiteGuard」を使用しています。

本機能を有効にすることにより、ソフトウェアの動作やインストールに影響が出る場合があります。

Webアプリケーションファイアウォール(WAF)の設定 – さくらのサポート情報より
https://help.sakura.ad.jp/hc/ja/articles/206206661#ac01

さくらのサポート情報 レンタルサーバ アクセス制限
国外IPアドレスフィルタ– さくらのサポート情報より

https://help.sakura.ad.jp/hc/ja/articles/206054272-国外IPアドレスフィルタ

結果的にどちらがログインを妨げていたかというと、「ファイアウォール」側でした。

すべて「利用しない」にチェックを入れて変更ボタンを押す。

全部無効化したらログインできるようになりました。
All In One WP Security(バージョン 4.2.5)側が邪魔してるのかなと思ってファイアウォールON、プラグインOFFにしてみたら、やはりログインがエラーになるためプラグイン側ではないこともわかりました。
 
ただ、もう一個の漫画サイトとして作ったwordpressはファイアウォールON状態でも動いていたので、この「もちあるきやがれ」に使ってる要素の何かが相性悪いのか、壊れたのか、現在不明です。
 

2017/02/16追記:2/11にアタックがきたようです。

今回脆弱性情報のこともあり、当分ファイアウォールをONにして、ログイン時だけoffにする措置とって様子見してたんですが、2/11にブルートフォースアタックのようなものがきてたようです。

2017/02/11 12:01:20~2017/02/11 12:29:22に「 クロスサイトスクリプティングの試みの可能性」で160回くらいきてブロックされてた。

さくらの注意喚起が更新されてました。

https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1528

WordPressをご利用のお客様へWAF設定のご案内 2017年2月15日 お客様各位 さくらインターネット株式会社

さくらインターネットでwordpress利用中の方はファイアウォールをオンにしておくといいです。
こういうのがデフォルトでついてると安心感ありますね。

2017年7月17日追記

プラグインアップデートしたら「admin.php」が真っ白になってダッシュボードすら出なくなった。
(アップデートしたプラグインはAkismet Anti-Spam (アンチスパム)とEWWW Image Optimizerです)
なんでだっぁぁ▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわああああああ
というわけでデバックモードオンにしてみた。

参考
システム開発と英語勉強の日々 はてなブログ
[Wordpress]Wordpressで管理画面が真っ白になった場合にすること

デバックモードオンにすると、「どれがエラーはいてるか?」というのを確認できるんですが、admin系のエラーは出ておらず。

Strict Standards: Declaration of KtaiService_Other::in_network() should be compatible with KtaiServices::in_network($networks = NULL, $allow_search_engine = false) in /hogehoge/wp-content/plugins/ktai-style/operators/base.php on line 2459

Deprecated: Non-static method KtaiServices::get() should not be called statically, assuming $this from incompatible context in /hogehoge/wp-content/plugins/ktai-style/ktai_style.php on line 117

Notice: Undefined variable: uid in /hogehoge/wp-content/plugins/ts-webfonts-for-sakura/ts-webfonts-for-sakura.php on line 67

・・・あれ、function.phpとかのエラーじゃない??
他の方法考えないといけないみたいだ、ということで

 

1.バックアップを取って、
2.「wordpress公式サイト」の本体zip落としてきて、解凍して、
3.公式の「admin」フォルダ内にあるphpファイルを自分のサーバーに更新アップロードして、
4.wordpressのダッシュボード戻ったーホッ…(*゚д`)=з
5.でも相変わらずさくらのWebアプリケーションファイアウォールをオフにしないとダッシュボードにアクセスできない。
 

参考:

何でこうなったのかは・・・まあプラグインの更新の影響かなーとは思うんですが。以前から管理画面が出てこないので、だんだんどっかsql側とか壊れてるんじゃないかなーと思いはじめました。

2017年9月1日追記

参考になりそうな記事があったので、これを取っ掛かりに調整検討中。

さくらのレンタルサーバーでWordPressを運用する時のWAFの設定と注意点
-Gatespace’s Blog
https://gatespace.jp/2013/07/25/sakura-wordpress-waf/

↑上記記事を要約すると、「WAFはwordpressのダッシュボードと相性が悪いのでチューニングが必要」との状態。

 

2018年1月19日追記

実はこの「WAFはwordpressと相性悪い」はずーーーーーっとまえから言われていたようです。
もっというと、「WAFはCMSコンテンツと相性悪い」というのが正解のようです。

検索したらたくさん出てきました。

↓concrete5もcmsなんですが、WAFと相性が悪いようです。

concrete5フォーラムより

HTML ブロック等で 403 エラーが出るとき WAF を確認
https://concrete5-japan.org/community/forums/chat/post-11267/
<引用>
5.7.x で Chrome の Developer Tools の Console で 403 の挙動を確認すると
—–
POST XXXXXXX/ccm/system/dialogs/page/add_block/submit?ccm_token=XXXXX&cID=XX 403 (Forbidden)
—–
みたいなエラーを確認できます。

これは、WAF(ウェブアプリケーションファイアウォール)が、特定のコードがウェブサイトに送信されていると、攻撃をしているとみなされているためです。
(中略)
このエラーは、WAF を導入している

– さくらインターネット
– ロリポップ
– ヘテムル
– Zenlogic

などでエラーが発生することを確認しています
<引用ここまで>

これはメルマガ配信ソフト(動的サイト運営)についてのフォーラム↓

MilkyStep Official Community
メルマガ・ステップメール配信ソフトMilkyStep利用者のコミュニティ より

デフォルト画面設定でプレビューがForbiddenとなり編集できません
http://milkystep.com/ms_poc/?p=1559

2012年からずっと言われていた模様なのがこの投稿記事↓の日時でわかります。

WordPressでページの更新時にエラー [解決]
Posted on 2012.9.5
http://yskw.com/blog/wordpress/380.html

「CMSとの相性が悪い」のは既知の問題として存在しているのに、webアプリケーションファイアウォール「SITE GUARD」を作っているJPsecure社側ではこの件に関しては改善も明確な対応策の提示もないようです。
(mod_rewriteを利用すると挙動が変わる恐れがあるとWAFの免責に確かに書いてありますが、同じJPsecureで作っているwordpressプラグイン「site guard」は「mod_rewrite」機能を使ってログインページを変更できるという・・どっちやねんと)

さくらのサポートにメールで問い合わせると「wordpress通常利用で問題なく動作しますので、固有事象のようです。」とのことで、やはりwordpressの設定に関して自分で対応・調整しなければならない状態。

セキュリティ上ファイアウォールは設定してね!
でもうまく使えない機能もあるからごめんね!!

セキュリティ対策は大事だってわかってます。
ただ・・・ブログという常時ログイン&スピード更新ができるのが売りのCMS機能と相性の悪いセキュリティとか・・・なんか不便ですよね。
動的サイトを運営するのであれば、WAF以外で自分のIPアドレスのみログインできるようにするとか、二段階認証とかの対処法とかでしのぐしかなさそうなのが判ってきたところです。
中々難しい問題ですね。

無料SSL証明書「Let’s Encrypt」設定が簡単じゃなかった

詳しくは別記事↓に書いてます
さくらインターネットでも無料ssl証明書が導入されたので自サイトに適用した

●。PR:レンタルサーバー

このサイトは、さくらのレンタルサーバ スタンダード
を利用しています

アニメ、ゲーム、コミックなどの創作(同人)活動を応援します!JSNレンタルサーバー
↑大人同人は申請制で利用可能
月額480円からのパワフルで高速なクラウドレンタルサーバー MixHost
↑日本の会社。大人向けOKで、当サイト管理人が現在サブで運用中のレンタルサーバー
★月額100円(税抜)~/WordPress簡単インストール! ロリポップ!レンタルサーバー ★
↑とにかく安く、かわいいURLではじめたいなら
独自SSLが無料!クラウド型高速レンタルサーバーが月額126円(税抜)から!スターサーバー
↑広告なしの無料レンタルサーバーも併設
WordPressの運用に特化したレンタルサーバー『wpXレンタルサーバー』
↑来訪者多くて安定したwordpress運営したい人向け
フレンドサーバー
↑海外サーバー。大人向けok


**独自ドメインで本格的にやりたいならあわせて↓**
年間920円(税抜)からの格安ドメイン取得サービス─ムームードメイン─

ドメイン取るならお名前.com

●。スポンサーリンク











●。