wordpress

WordPressでWAF誤検知!固定ページが編集できない時の原因と対策

Posted on by taskmother / 0件のコメント

2026年初頭から、とあるWordPressの一部の固定ページが更新できなくなっている。
具体的には、一部の固定ページにおいて編集画面が読み込めず(ぐるぐる回ったままフリーズする)、更新ができない不具合が発生している。

WAFが有効な場合、固定ページがぐるぐる回って編集できない
テーマ由来のエディタ編集ではWAFが有効な場合、固定ページがぐるぐる回って編集できない

テーマ由来のエディタで編集している固定ページであり、WAFを無効にすると問題は解消される。
実は、この現象が起きることや解決方法の状態をあらかじめ聞かされていたので、対応できたのだった。

ちなみに、同じテーマを利用している環境でさくらインターネットはNGだが、ロリポップサーバーではWAFを有効にしていても、固定ページは編集できるらしい。

また、問い合わせフォームのContact Form7プラグインを変更した際に、わかりやすいメッセージが表示されWAFの影響が裏付けられている。

The server refuse to browse the page.
The URL or value may not be correct. Please confirm the value.
TIME: 1776908282.516343 (2026-04-23 10:38:02 (+0900))
METHOD: POST
PATH_QUERY: /wp-admin/admin.php?page=wpcf7&post=xxx

このエラーメッセージの一部とさくらインターネットで検索すると、WAFの誤検知、WAFを無効にすると問題が解消されることが分かる。

今回の場合、Contact Form7の問い合わせフォームは2つあり、一つを変更して更新してもエラーにはならなかったが、もう一つのフォームで上記のエラーがでた。

問い合わせフォームのコードを挿入する固定ページとの関係で、エラーが出ない・出るの分かれ目なのだろう。

別のサーバーでは、このテーマでも問題なく編集できているとのことで

Googleで「さくらインターネット WAFと相性の悪いWPテーマ」と検索すると、AI による概要には以下のように表示される。

さくらのレンタルサーバのWAF(Web Application Firewall)は、セキュリティ上非常に有用ですが、過剰検知(誤検知)によってWordPressのテーマやプラグインの動作をブロックしてしまうことがあります。
検索結果から、さくらインターネットのWAFと相性が悪くなる(または競合しやすい)テーマや要因は以下の通りです。

  1. 相性や不具合が報告されているテーマ・プラグイン
    特定のテーマ名として、SWELLはセキュリティプラグイン「SiteGuard WP Plugin」やサーバーのWAF設定と競合し、ログイン画面や編集画面で不具合(403エラー等)を起こす可能性があると報告されています。
    また、テーマではありませんが、WP Social Bookmarking LightもWAFと相性が悪く、設定を阻害することがあります。
  2. さくらWAFと相性が悪くなる典型的なテーマの機能
    以下のような機能を持つテーマは、WAFから「不正なアクセス」と誤検知されやすくなります。
    高度な投稿機能・ライブプレビュー機能:
    データベースに直接書き込みを行うテーマ独自の編集機能や、動的にコンテンツを生成する機能(Ajaxを多用するもの)は、WAFの防御機能(SQLインジェクションやクロスサイトスクリプティング検知)に引っかかりやすいです。
    古い・メンテナンスされていないテーマ:
    最新のWordPressセキュリティ基準に対応していない古いテーマは、安全な処理であっても不正とみなされるリスクが高いです。
    ページビルダー機能を内蔵したテーマ:
    特に海外製の重厚なテーマは、保存時に多くのデータを送信するため、WAFが攻撃とみなすことがあります。
  3. WAFと競合した際の対処法
    相性が悪いテーマやプラグインを使っている、あるいは不具合が発生した場合は、以下の手順で対応します。
    WAFログの確認:
    さくらのコントロールパネルからWAFの検知ログを確認し、どの「シグネチャ(ルール)」が引っかかっているか特定します。
    一時的にWAFを無効化:
    投稿・保存時にエラーが出る場合、一時的にWAFを無効(オフ)にして編集を行います。
    ※注意: WAF反映には時間がかかる場合があります。
    SiteGuardの調整:
    SiteGuard WP Pluginを使っている場合は、設定を緩和するか、無効にして動作確認をします。

    相性が悪いと感じた場合は、WAFを無効にし続けるのではなく、テーマのアップデートを待つか、代替のプラグイン・テーマを検討することをお勧めします。

対処法として3つ提案されているが、現状ではWAF設定を無効にするしかない。
WordPress7.0のアップデートもまじかに控えているので、テーマのアップデートもあるだろう。とはいえ、アップデートによる改善は期待薄である。

年に数回の固定ページの変更とはいえ、やはりWAFの切り替え作業が発生するのはストレスである。

テーマ由来の高機能エディタはデザイン面では優れているが、やはりWPベースのエディタでシンプルに構築することで問題発生率は低くなる。(と、現在は考えているがこの先はなかなか予測できない)

サーバー側がWAFをはじめ、セキュリティ面を強化してくれているのは有難いことであるが、既に導入しているテーマとの相性が悪くなったところで、直ぐにテーマを切り替えるということは実際には難しい。とはいえ、WEB環境、セキュリティ環境に加えてAI関連の成長も早く、WEBサイトのライフサイクルも短くなっていると感じる。

今後、WordPress標準のエディタへの移行や、サイト自体のリニューアルを含めた運用体制の根本的な見直しを検討すべき時期に来ている。Web技術の進化とセキュリティ環境の複雑化を考慮し、運用の持続可能性を優先した設計へシフトすることが重要だと考える。

taskmother

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です