ロリポップでWAFが有効だと403エラーが出る!その対処方法?
サイトの改ざんや不正操作の被害から守るのが、
WAF(ウェブアプリケーションファイアウォール)
CMSの脆弱性を突いた攻撃により、いとも簡単に、侵入されることから
WAFを搭載する事で、攻撃を検知して、高確率で シャットアウトしてくれる
このように、優れた「WAF」を標準装備している
レンタルサーバーは、いくつかある
ロリポップ!、ヘテムル、さくらのレンタルサーバー、WADAX
403エラーが発生して、上手く機能しなくなる問題
誤検知して403エラーが発生!
ただ、強力すぎるのか? 「正常なリクエスト」まで、誤検知してしまうようで、
要するに、403エラーが発生してしまう事になる
403:サーバが要求の実行を拒否 アクセスの権限を禁止/許可してない場合に返されるステータスコード
WordPressを、はじめとしたCMSで、
「WAF」の影響で、403エラーが勃発するようだ
WordPressの場合だと
- WordPressでテーマ編集を変更すると403エラー
- プラグインの追加する際に403エラー
- 管理画面で、何か更新した際に403エラー
PHPファイルを更新しようとする場合に、403エラーが発生してしまう!
と言う事なので、
「403エラーの原因は「WAF」、なので「WAF」を無効に!」
なんて、声も上がっえるようで
折角の、「WAF」を、無効にしてしまったらもったいない
403エラー!その対処方法とは?
記事を書く分には、問題ないようなので、
通常は、「WAF=有効」
ダッシュボードで、なにか変更する際は
変更する際は、「WAF=無効」
と、「ON/OFF」切り替えながら使う!
いちいち、切り替えるのが面倒くさい方は!
「閲覧用と管理用」で切り分けて、セキュリティ対策を行う
- 閲覧用のドメインはWAFで防御する
- 管理用のドメインはWAFは無効にして、BASIC認証で防御する
BASIC認証とは: HTTPで定義される認証方式の一つ
WAFの検知ログから除外記述を「.htaccess」ファイルに追記して
意図しない403を、WAFを無効にする
管理画面を、特定のドメインのみ許可する「BASIC認証」に設定する
「管理用のドメインはWAFは無効」については
「管理用のドメインはWAFは無効」については
ヘテムル:WAFの検知ログから除外記述を「.htaccess」ファイルに追記
ヘテムルでは、WAFでの、403エラーを、
「WAFの検知ログ」から確認(保存期間は7日間)できて、
WAFによるアクセス遮断が発生している「除外記述」を、
「.htaccessファイル」に追記することで、403エラーの対策が可能なる
但し、403エラー毎に、除外記述を設定する事になるので、
少々、面倒な作業になるが、管理用での「WAF設定を無効」と言う事になる
hetemlサーバーに関しての参考記事
ヘテムルの価格は高めの設定だが選ぶ価値は十分ある!これだ
■キャンペーン
長期のご契約で月額料が大幅割引!
ベーシック(価格は税抜き) | ||||
---|---|---|---|---|
3ヶ月 | 6ヶ月 | 12ヶ月 | 24ヶ月 | 36ヶ月 |
1,100円 | 1,000円 | 900円 | 850円 | 800円 |
プラス(価格は税抜き) | ||||
3ヶ月 | 6ヶ月 | 12ヶ月 | 24ヶ月 | 36ヶ月 |
2,200円 | 2,000円 | 1,800円 | 1,700円 | 1,600円 |
■無料お試し期間15日間■ |
---|
高機能レンタルサーバー heteml (ヘテムル)
転送量も多く、複数のサイト運営に最適!
200GB、無制限のマルチドメイン、70個のDB
国内最大級バックボーンとハイスペックサーバ
CPU 20コア 128GBメモリ搭載、オールSSD
共用サーバーを超える、高速・安定サーバー環境
ベーシック | プラス | ー | ー | ー |
---|---|---|---|---|
月/990円 | 月/1,980円 | ー | ー | ー |
初期費用 | 容量 | マルチドメイン | データベース | 転送量 | 無料SSL・HTTP/2 |
---|---|---|---|---|---|
2,200円 | 200GB | 無制限 | 70個 | 80(GB/日) | 対応 / 対応 |
無料SSL HTTP/2 オールSSD PHPモジュール版 WebDAV 海外アタックガード |
プログラムキャッシュ コンテンツキャッシュ WAF 自動バックアップ 電話サポート |
(※上記は、ベーシック プランの詳細)
※価格は年間(12ヶ月)申し込みをした場合の、税込み10%の金額を記載