ドメインキングでSNSの数字が「!」になるときの対処 【Simplicity】編(備忘録)

本当にお世話になっているWordpressの【Simplicity】というテーマ。このテーマにはSNSのシェアボタンが標準搭載されていて、カスタマイザーで自在に表示できるようになっています。

このSNSのシェアボタンを未来的に数が増えますように・・・と願いつつ、今までは何も考えずに設置していましたが、ページの表示速度が最近気になり始め、「このボタンの設定を(高速)になっているものにしたら速くなる??」と単純に変更してみました。うーん速くなったようななってないような・・・という感じでした。

が、ここで問題が。レンタルサーバーの問題なのか、Wordpressの問題なのか、はたまたSimplicityの問題なのか、シェア数が「!」になってしまいました。そしてサーバーのエラーログには「client denied by server configuration」というエラーが記録されており、アクセスの度に

  1. fetch-google-plus.php(Google+のシェア数を取りに行くファイル)
  2. fetch-pocket.php(pocketのシェア数を取りに行くファイル)

の2行が出力されている状態になりました。何かがあってエラーになっているのだと思われますがさっぱり分からない・・・で、1つ1つ調べつつ一定の改善策に達しましたので備忘録をかねて紹介します。

【Simplicity】テーマ特有のものなのかどうかを試してないので不明ですが、SNS系のプラグインやSNSのシェア数を表示するテーマなどでも同様の症状があれば試してみる価値はあると思います。

スポンサーリンク

「client denied by server configuration」エラーが出るのは何が原因なのか?

この問題はどうしてシェアボタンの数字が「!」になるのか?というよりも、どうして「client denied by server configuration」というエラーがサーバーのログに出るのか?というのが争点になりそうです。

しかし残念ながらググってもそれらしい情報がありません。「client denied by server configuration」が出る要因はサーバーのhttpd conf(サーバーの設定ファイル)の問題のようではありますが、ドメインキングで変更できるようでもなく、また、薄い知識でどこをどうすればいいのかも分からないですから下手に何かするのは危険です。

いろいろ検索する中で1つだけ参考になりそうなサイトがありました。

どうやらWAF(ウェブアプリケーションファイヤーウォール)というのが要因になっているようで、不正アクセス防止機能として働いているものが過剰に動いているようです。

ここに書かれている「ロリポップ」サーバーではリンク先参考ページの対処でいいようですが、ドメインキングでは??ということで調べてみたところ、日本語で「ウェブアプリケーションファイヤーウォール」というのがありました。これが関わっているようです。

ドメインキングでのWAF設定は原則無理のよう

ドメインキングにログインしたら「ドメイン」を開くと「ウェブアプリケーションファイヤーウォール」というメニューが出てきます。

私の場合は標準(デフォルト)でこの機能が「On」になっていました。何も知らなかったので防衛してくれるなら・・・とそのままにしておいたのがエラーの原因だったようです。

これを2番目の「検出のみ」にしてもこの機能は停止されず、エラーは記録され続けました。

ここで問題が発生。ドメインキングにはこのエラーを表示するログがないようなのです。ファイヤーウォールには除外設定があり、エラー内容からIDを指定して除外できるようにはなっているものの、肝心のIDがログにないのですからどうしようもありません。

仕方なくこの設定を「OFF」にしました。現状ではこの方法しかありませんので。

WAFがなくなるとどうなるのか-Wordpressでの対策

「SiteGurad WP Plugin」というのがいわば「ウェブアプリケーションファイヤーウォール」の代替となりそうなプラグインのようです。

このプラグインの公式サイトを見てみると

  1. 不正ログインの防止(文字列認証やログイン試行回数設定など)
  2. 管理ページ(/wp-admin/)への不正アクセス防止(ログインURLを変更する)
  3. コメントスパムの防止

が主な機能のようです。これなら他のプラグインでもできるので、この状態でしばらく様子見することにしました。

不正ログインされそうになったかは今使っている

Wordpressでセキュリティ対策をするための第一歩はいつ、どこの国のどこのIPアドレスからログインしようとしたか、ログインしたかを知ることです。「Crazy Bone」は、ログインやログイン失敗の履歴を一覧で見ることができるプラグインです。

で監視して、あまりにひどいようなら

「WP Ban」はIPアドレスやホスト名、ドメイン名などあらゆる方法でアクセス拒否を設定できるプラグインです。Wordpressで作ったサイトで特に多いスパム行為によって負荷がかかってサーバーがダウン・・・などとなる前に是非使っておきたいプラグインです。

使うか、.htaccessで拒否するかすれば済む話ですからね。

一番いいのはログインURLを変えることなのですが、プラグインを使ってこの機能を追加した場合、何かの問題でプラグインが停止したら・・・ちょっと怖いので今回は見送ります。

と書いてしまうと、このサイトのログインURLは・・・ということになってしまうのですが、不正にログインしようと試みる方々は適当なサイトのURLにログイン用のアドレス付け足してアタックするわけですからあんまり関係ないような気も個人的にはします。

また変化や変更があったら追記します。

トップへ戻る