WAF有効でも403エラーを回避する

レンタルサーバーにfreoを設置して管理画面でファイルの書き換えをしようとすると、403エラーになってしまい書き換えができなかったりします。これは、freoに限らずwordpressなどのCMSでも起こる現象のようです。原因の一つとして「WAFが有効であること」が挙げられます。対処法をググると「WAFを無効にする」が沢山ヒットし、そうか…と思って私も無効にしていたんですが。

WAFとは

そもそもWAFとはウェブアプリケーションファイアウォールの略であり、Webアプリケーションのやり取りを把握・管理することによって不正侵入を防御することのできるファイアウォール…つまりサイトのセキュリティを守るシステムなのです。そんなほいほいと無効にしてもいいのか?とふと思ったんですね。そこで初めて自分のサイトの状況を確認してみました。

WAFのログを確認

以下はロリポップ!のユーザーページですが他のレンタルサーバでもそんなに変わらないと思います。

20180115-1.jpg

  • ①をクリックしWAF設定ページへ
  • 対象サイトURL横の②で有効無効を切り替え

なのですが今回は③の「ログ参照」をクリック。当然ですが「無効」になってる間はログの記録はありません。

不正侵入未遂の痕跡

20180115-2.jpg

すると驚いたことに(?)自分がfreoの操作をして403エラーを食らった以外に弾かれていたアクセスの痕跡があったのでした…。これはやはり有効にしておいたほうが安心なのでは…?と。

そこでなんとかWAF有効のままCMSの操作でエラーが出ない方法はないかと調べてみました。ありました。

WAFで特定シグネチャを除外

まず、WAFを無効にしている場合は有効に切り替えます。サーバーによってはこの切り替えが反映されるまで少し時間がかかる場合がありますので待ちましょう。反映されたかな…?というタイミングでおもむろにfreoの「メディア管理」「ファイル管理」などでファイルの書き換えを行います。403エラーを食らいます。サーバーのユーザーページのWAFのログを確認します。

20180115-3.jpg

この下段に表示される文字列が「シグネチャ名」になります。ここでは例として「example-1」とします。この文字列を、freo設置ディレクトリ直下の.htaccessに以下のように記述します。

<IfModule siteguard_module>
SiteGuard_User_ExcludeSig example-1
</IfModule>

すでに何か記述されている場合、末尾に上記を追加すればOKです。あとはWAF有効のままでもfreoでファイルの書き換えができるかどうか試してみてください。

以下追記です。

上記の記述だと、ほかの操作が引っ掛かった場合にはまた「シグネチャ名」を追加せねばなりません。また、この設定をした場合、その検出ルール全体がオフになってしまいますので、セキュリティが低下する恐れもあります。そこで

WAFで特定IPを除外

という方法もあります。(※ロリポップ!では有効な記述ではないようです…ションボリ)

<IfModule mod_siteguard.c>
  SiteGuard_User_ExcludeSig ip(xxx.xxx.xx.x)
</IfModule>

Recent Entries

2018-01-18
freo設置ディレクトリをルートURLで表示させる
2018-01-16
freo(tinymce)でシンタックスハイライト
2018-01-15
WAF有効でも403エラーを回避する
2018-01-13
お久しぶりです

Categories

Tags

Archives

2018年
01月

Recent Images

  • WAF有効でも403エラーを回避する
  • Photo by ガーリードロップ

Utility Link

Page Top