ロリポップでWAFが有効だと403エラーが出る!その対処方法?

サイトの改ざんや不正操作の被害から守るのが、

WAF(ウェブアプリケーションファイアウォール)

CMSの脆弱性を突いた攻撃により、いとも簡単に、侵入されることから
WAFを搭載する事で、攻撃を検知して、高確率で シャットアウトしてくれる



WAF

WAF



このように、優れた「WAF」を標準装備している
レンタルサーバーは、いくつかある

ロリポップ!、ヘテムル、さくらのレンタルサーバー、WADAX





403エラーが発生して、上手く機能しなくなる問題

誤検知して403エラーが発生!

ただ、強力すぎるのか? 「正常なリクエスト」まで、誤検知してしまうようで、
要するに、403エラーが発生してしまう事になる


403エラー

403:サーバが要求の実行を拒否
アクセスの権限を禁止/許可してない場合に返されるステータスコード




WordPressを、はじめとしたCMSで、
「WAF」の影響で、403エラーが勃発するようだ



WordPressの場合だと

  • WordPressでテーマ編集を変更すると403エラー
  • プラグインの追加する際に403エラー
  • 管理画面で、何か更新した際に403エラー

PHPファイルを更新しようとする場合に、403エラーが発生してしまう!




と言う事なので、
「403エラーの原因は「WAF」、なので「WAF」を無効に!」



なんて、声も上がっえるようで
折角の、「WAF」を、無効にしてしまったらもったいない






403エラー!その対処方法とは?

記事を書く分には、問題ないようなので、
通常は、「WAF=有効」

ダッシュボードで、なにか変更する際は
変更する際は、「WAF=無効」



と、「ON/OFF」切り替えながら使う!



いちいち、切り替えるのが面倒くさい方は!

「閲覧用と管理用」で切り分けて、セキュリティ対策を行う

  • 閲覧用のドメインはWAFで防御する
  • 管理用のドメインはWAFは無効にして、BASIC認証で防御する


    BASIC認証とは: HTTPで定義される認証方式の一つ



WAFの検知ログから除外記述を「.htaccess」ファイルに追記して
意図しない403を、WAFを無効にする

管理画面を、特定のドメインのみ許可する「BASIC認証」に設定する




「管理用のドメインはWAFは無効」については

「管理用のドメインはWAFは無効」については
ヘテムル:WAFの検知ログから除外記述を「.htaccess」ファイルに追記


ヘテムルでは、WAFでの、403エラーを、
「WAFの検知ログ」から確認(保存期間は7日間)できて、

WAFによるアクセス遮断が発生している「除外記述」を、
「.htaccessファイル」に追記することで、403エラーの対策が可能なる



但し、403エラー毎に、除外記述を設定する事になるので、
少々、面倒な作業になるが、管理用での「WAF設定を無効」と言う事になる







hetemlサーバーに関しての参考記事
ヘテムルの価格は高めの設定だが選ぶ価値は十分ある!これだ









     ■キャンペーン

長期のご契約で月額料が大幅割引!

ベーシック(価格は税抜き)
3ヶ月6ヶ月12ヶ月24ヶ月36ヶ月
1,100円1,000円900円850円800円
プラス(価格は税抜き)
3ヶ月6ヶ月12ヶ月24ヶ月36ヶ月
2,200円2,000円1,800円1,700円1,600円




ヘテムル
■無料お試し期間15日間■

高機能レンタルサーバー heteml (ヘテムル)

転送量も多く、複数のサイト運営に最適!
200GB、無制限のマルチドメイン、70個のDB

国内最大級バックボーンとハイスペックサーバ
CPU 20コア 128GBメモリ搭載、オールSSD

共用サーバーを超える、高速・安定サーバー環境

ヘテムルの詳細・評価ページ

ベーシックプラス
月/990円月/1,980円
初期費用容量マルチドメインデータベース転送量無料SSL・HTTP/2
2,200円200GB無制限70個80(GB/日)対応 / 対応
無料SSL HTTP/2 オールSSD PHPモジュール版 WebDAV 海外アタックガード
プログラムキャッシュ コンテンツキャッシュ WAF 自動バックアップ 電話サポート

(※上記は、ベーシック プランの詳細) 
※価格は年間(12ヶ月)申し込みをした場合の、税込み10%の金額を記載