サーバはlolipop。 基本認証もかけていたから、てっきり認証系だと思いこんでた。403だったし。
おかしいなー認証ちゃんと外してるのになーとかいろいろやってて。 なぜか返事が200だったり403だったりして、ん?認証が外れてないのではなく、別の要因なのか?と気がつくのに時間食ってしまった。
そうか、ロリポのWAFを有効にしていた、と思い出して無効にしてみる。 これが無効に変えてから実際無効になるまでちょっと時間食ったけど、しばらくしたら200が返ってきたのでビンゴだった。でも無効にしたままは困るので、有効に戻しておく。
必要なのは admin-ajax.php なので、そいつだけ xss 系のフィルタを外してやることにした。
wp-admin/.htaccess に、以下の記述を追加した。
<Files admin-ajax.php> SiteGuard_User_ExcludeSig xss-tag-1 Allow from all Satisfy any </Files>
allow from をもっと限定してやると良いのかもしれない。 まあとりあえずメモ。