安全だけどやっかいなWAF

この記事は約2分で読めます。

サーバーはロリポップを使っています。

ロリポップにはセキュリティを守るWAFの設定ができるようになっています。

WAFとはウェブアプリケーションファイアウォールの略で不正アクセスによるサイトの改ざんや情報漏洩を防ぐ機能です。

便利な機能なのですが、Cocoonの設定更新がWAF設定を解除してからでないとできないし、記事内にCSSやプログラムコードを表記して更新しようとすると、

「更新に失敗しました。返答が正しい JSON レスポンスではありません」

というメッセージが表示され、記事の投稿ができなくなります。

そのためロリポップのサイトからWAFの設定解除をしてから記事投稿するという手間が必要となります。また解除後の再設定を忘れる恐れもあります。

WAFなんて設定しなくても問題はないと思われるかもしれませんが、サーバーのログをチェックしたところ、怪しげな海外IPからのアクセスがあったことがわかりました。なのでWAF設定は必須です。

Cocoonのサイトでこの問題に対処する方法がアナウンスされていました。

サイトディレクトリ直下の.htaccessファイルにWAFを対象外とするIPアドレスのシグネチャコードを記述しておく方法です。

Cocoon設定の「広告(AdSense)」設定をしたときに403で保存できないときの対処方法
サーバーのセキュリティ設定であるWAFの除外設定を行う方法です。

この設定をしてから、WAF設定解除をせずにCocoon設定変更およびコード記述記事作成ができるようになりました。

yasuu_kusayanをフォローする
タイトルとURLをコピーしました