私のお客さまから、

wordpressに入れません。
いまはホテルから、レンタルのwifiでアクセス中。
「403 Forbidden nginx」
です。

とのEメールが届きました。

どうやら、お客様さまは海外出張で出張先のホテルからWordpress の管理画面にアクセスしようとして、アクセスを拒否されたようです。出張前までは問題なく管理画面にアクセスし、ログインもできていたそうです。
お客様のサーバーに何が起きたのでしょうか。

スポンサーリンク

さくらサーバーには海外からのアクセスを制限する機能がある

お客様が使っていたサーバー業者さんは「さくらインターネット」のレンタルサーバーでした。「さくらインターネット」のレンタルサーバーは低価格で管理画面もしっかりしている老舗のレンタルサーバー業者さんです。

今回のお問い合わせの原因は、このレンタルサーバーに「国外IPアドレスフィルタ」という機能が実装されており、このことに気が付いていなかったことによるものでした。

「国外IPアドレスフィルタ」とは、「さくらインターネット」管理画面の説明文を引用しますと、

日本国外IPアドレスからのアクセスを制限することで、海外からの不正なアクセスに対するセキュリティを強化することができます。

とのことです。

この機能はサーバーにある全てのページにアクセス制限がかかるというものではなく、主にWordpress やMovable Typeなどの管理機能に対して制限しています。対象範囲は次の通りです。

HTTP/HTTPS制限対象範囲

※さくらインターネット サーバーコントロールパネル(管理画面)の「国外IPアドレスフィルタ 設定マニュアル」抜粋

この機能が働いて、今回のお客様の顛末になった訳ですが、今回の「国外IPアドレスフィルタ」は初期設定が「有効」になっているのと、サーバーは最初に設定してしまえば、あとはあまり変更することもないので、どのような機能があったかを憶えていないのも無理はないでしょう。また、私は「国外IPアドレスフィルタ」のような機能があるサーバーをあまり見たことがないので、業者さんの特殊な機能であれば、なおさら気付き難いかもしれません。

アクセス制限に対する対処

対処としては、とりあえず、単純にアクセス制限を解除しました。コントロールパネル「さくらインターネット」の管理画面にログイン後、「国外IPアドレスフィルタ」をクリックすると「国外IPアドレスフィルタ」画面が開きます。「アクセス制限設定」で「無効」を選択後、「変更」ボタンをクリックすると、制限解除は完了です。

対応策として、アクセス制限はそのままで、「ホワイトリスト接続許可設定」を利用する方法もありますが、お客様がアクセスする度に、海外でのIPアドレスを割り出してホワイトリストに設定する手間がかかるので、一旦アクセス制限を解除する方法を取りました。もちろん、お客様が帰国後にアクセス制限を「有効」に戻します。

おわりに

今回の「国外IPアドレスフィルタ」機能はセキュリティ対策の一環として設置された機能ですが、思いもよらないところで、混乱が生じました。当のお客様は、海外でのトラブルなので、さぞ焦られたと思います。ただ、だからといってこの機能が問題ということではありません。使う側がいかに上手に使うかだと思います。

私も良い勉強になりました。