WordPressのWAF設定によりブログ改変ができなくなる現象【AFFINGER】

AFFINGERでカスタムHTMLの保存ができないのはなんで?
WAF設定をOFFにすればいいっていう単純な問題じゃなくね?
こんな疑問に答えていきます。
別ブログで月2万PVを超える僕が解説していきます。

ある日、カスタムHTMLの保存ができない現象が起き始めました。

調べてみると、セキュリティ関連が原因のようです。
WAF、ウェブアプリケーションファイヤーウォールですね。

わりと有名な話のようです。
た、だ、し、ファイヤーウォールをOFFにして、カスタマイズして、ONに戻せばいいや、という単純な問題なんでしょうか…

それだとセキュリティ対策になっていないし、なにより時間が超ムダです。
(毎回、設定反映までに10分待つと無駄)

その辺の問題も含めて考察していきます。

WAFをONにするとウィジェットが編集できなくなる現象

このWAFの機能をONにして、セキュリティを強固にすると、ウィジェットが編集できなくなる現象が起きています。

できないこと、まとめました。

WAFをON状態で出来ないこと

・カスタムHTMLの保存ができない
・scriptタグを含むウィジェットの編集ができない
・Google Adsenseタグの導入(追加、編集)ができない
・メニューバーへトップへのリンクを貼ることができない
・追加CSSの編集ができない

ってか、ほぼ何もできないに等しいです
ブログ書いてる意味あるぅぅぅぅぅ??

これらの行為を行うと、エラーが起きてしまいます。
(403エラー?)
ウィジェットの場合は、更新ができません。

「何かうまくいかなかったようです。時間を置いてもう一度お試しください。」
と表示されたりします。

しかし、WAFを一時的にOFFにすると、これらが可能になるためWAFが原因かと考えました。

ロリポップサーバーでは有名な話らしい

調べていてわかったのですが、ロリポップサーバーでは同様なことが頻発しているようです。

PHPやCGIでプログラムの編集をすると403エラーが表示されます。
https://lolipop.jp/support/faq/cgi/000681/

僕はサーバーは違いましたが、これを疑って試してみました。
みごとにWAFをOFFにすれば、設定できたのです。

AFFINGERでの説明

ロリポップなどサーバー固有のエラーも確認されています
http://the-money.net/affingercheck/より引用
(AFFINGERやプラグインが上手く動かないときのチェックポイント)

AFFINGERやプラグインが上手く動かないときのチェックポイントとして、サーバー固有のエラーが紹介されていますね。

やはり、サーバーのWAFが原因なのでしょうか。

WAFとは何か

WAF(ワフ)はWeb Application Firewallの略で、Webアプリケーションのぜい弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。
Webサーバーの前段に設置して通信を解析・検査し、こうした攻撃からWebサイトを保護し、不正ログインを防ぐ役割で用いられます。
https://www.canon-its.co.jp/products/siteguard/waf/より引用

ようするに、WAFとはファイアーウォールの進化版って感じですね。
2016-2017年に多かったWordPressへの改ざんの問題への、効果的な対処法のようです。

こらいのキャノンのサイトはWAF関連の説明で、特にわかりやすかったです。

WAF(Webアプリケーションファイアウォール)SiteGuard (キャノンITソリューションズ株式会社)
https://www.canon-its.co.jp/products/siteguard/waf/

WAFが機能していない場合に起きるリスクにマルウェアなどへの感染が考えられます。
こちらの記事で紹介しました。

悪質な全面リダイレクト広告が貼られた原因と対策方法【マルウェア】

対処方法

WAFを一時的にOFFにする?

それで解決で、満足できるならいいですが…
根本的な解決になってないですよね

WAFをOFFにして有効になるまで毎回10分待っていたら人生終了しますね

WAFの例外設定で対処?

WAFの例外設定は根本的な解決になっているんでしょうか。
例外設定するなら、セキュリティ的なメリットは落ちてしまいますよね。

とにかくWAFをOFFにするのは危険度が高いと思います。

自分で手動でカスタマイズする?

手動でやってもいいですけど…

手動でやる時間を節約するために高いお金出してAFFINGER買ったので本末転倒

しかもこれ、手動でやっても、セキュリティガードは働くんじゃないでしょうか

サーバーを移転

こうなると、サーバー移転しかないっぽいですね

でも、これだけで、本当にサーバー移転すべきなんでしょうか。

他に解決方法はないんでしょうか

サーバー側はセキュリティのために働いているということなので、
どこに原因があると言っていいのか、難しいですね

他に、正解のやり方があるのかもしれません

ちなみに僕の他サイトのエックスサーバーではこの問題は起きていません。

というわけで今回は以上です。

WAFをONにするとウィジェットが編集できなくなる対処方法として、WAFを一時的にOFFにする、WAFの例外設定で対処、自分で手動でカスタマイズするがありました。
面倒さを脱却するには、サーバーを変えるしか方法がなさそうです。

-WordPress