ロリポップでWAFが有効だと403エラーが出る!その対処方法?

サイトの改ざんや不正操作の被害から守るのが、

WAF(ウェブアプリケーションファイアウォール)

CMSの脆弱性を突いた攻撃により、いとも簡単に、侵入されることから
WAFを搭載する事で、攻撃を検知して、高確率で シャットアウトしてくれる



WAF

WAF



このように、優れた「WAF」を標準装備している
レンタルサーバーは、いくつかある

ロリポップ!、ヘテムル、さくらのレンタルサーバー、WADAX





403エラーが発生して、上手く機能しなくなる問題

誤検知して403エラーが発生!

ただ、強力すぎるのか? 「正常なリクエスト」まで、誤検知してしまうようで、
要するに、403エラーが発生してしまう事になる


403エラー

403:サーバが要求の実行を拒否
アクセスの権限を禁止/許可してない場合に返されるステータスコード




WordPressを、はじめとしたCMSで、
「WAF」の影響で、403エラーが勃発するようだ



WordPressの場合だと

  • WordPressでテーマ編集を変更すると403エラー
  • プラグインの追加する際に403エラー
  • 管理画面で、何か更新した際に403エラー

PHPファイルを更新しようとする場合に、403エラーが発生してしまう!




と言う事なので、
「403エラーの原因は「WAF」、なので「WAF」を無効に!」



なんて、声も上がっえるようで
折角の、「WAF」を、無効にしてしまったらもったいない






403エラー!その対処方法とは?

記事を書く分には、問題ないようなので、
通常は、「WAF=有効」

ダッシュボードで、なにか変更する際は
変更する際は、「WAF=無効」



と、「ON/OFF」切り替えながら使う!



いちいち、切り替えるのが面倒くさい方は!

「閲覧用と管理用」で切り分けて、セキュリティ対策を行う

  • 閲覧用のドメインはWAFで防御する
  • 管理用のドメインはWAFは無効にして、BASIC認証で防御する


    BASIC認証とは: HTTPで定義される認証方式の一つ



WAFの検知ログから除外記述を「.htaccess」ファイルに追記して
意図しない403を、WAFを無効にする

管理画面を、特定のドメインのみ許可する「BASIC認証」に設定する




「管理用のドメインはWAFは無効」については

「管理用のドメインはWAFは無効」については
ヘテムル:WAFの検知ログから除外記述を「.htaccess」ファイルに追記


ヘテムルでは、WAFでの、403エラーを、
「WAFの検知ログ」から確認(保存期間は7日間)できて、

WAFによるアクセス遮断が発生している「除外記述」を、
「.htaccessファイル」に追記することで、403エラーの対策が可能なる



但し、403エラー毎に、除外記述を設定する事になるので、
少々、面倒な作業になるが、管理用での「WAF設定を無効」と言う事になる
















     ■キャンペーン

初期費用無料キャンペーン
2017年1月12日(木)12:00 ~ 2017年1月19日(木)12:00

新規でお申し込みいただいたサーバーアカウント
初期設定費用(税抜)通常3,950円が無料

長期のご契約で、月額料が大幅割引!

■月額使用料 1,620円(税込)が、長期契約で最大19,440円がお得
 ご契約期間 24ヶ月⇒1,485円/月(税込)
 ご契約期間 36ヶ月⇒1,080円/月(税込)




ヘテムル
■無料お試し期間15日間■

高機能レンタルサーバー heteml (ヘテムル)

転送量も多く、複数のサイト運営に最適!
256GB、無制限のマルチドメイン、100個のDB

国内最大級バックボーンとハイスペックサーバ
CPU 20コア 128GBメモリ搭載、オールSSD

共用サーバーを超える、高速・安定サーバー環境
ヘテムルの詳細・評価ページ

ヘテムル
月/1,620円36ヶ月契約で1,080円/月税込
初期費用容量マルチドメインデータベース転送量PHP/CGI
4,266円256GB無制限100個120(GB/日)対応 / 対応

※価格は年間(12ヶ月)申し込みをした場合の、税込み8%の金額を記載