ロリポップの WAF を有効にした状態で、モブログでできること・できないこと

photo credit: Mihael.Mafy via photopin cc
photo credit: Mihael.Mafy via photopin cc

先月末にロリポップで WordPress サイト改ざん問題が起きてから、セキュリティ策の1つとして WAF 機能を使っています。WAF を有効にすると直ちにモブログに支障が出ると予想していたのですが、条件によっては今まで通り記事の更新もできることが分かってきました。あくまでも私の環境での話になりますが、できることとできないことを整理してみます。

目次

  1. WAF って?
  2. 久しぶりに有効化してみて…
  3. WordPress 公式アプリは記事同期できず
  4. PressSync はほぼエラーなし
  5. エラーが起きるのは特定の文字列を含むケース

WAF って?

WAF と言われてもよく分からないという人は、ロリポップの公式ページに解説があるのでご一読ください。簡単に説明すると、ウェブアプリケーションファイアウォールと言って、サイトに対する不正な攻撃をブロックするセキュリティ機能の1つです。

私がロリポップでこのブログを始めた際は、WAF が最初から有効化されていて、管理画面でテーマファイルを編集するとエラーになるわ、iPhone の WordPress 公式アプリは使えないわで、すぐに無効化してしまいました。

久しぶりに有効化してみて…

それからおよそ10ヶ月。今回の騒動を受け、やはり WAF を有効化することにしました。今のところ、PC の管理画面上でテーマファイルを編集してもエラーは出てきません。この間、誤検知を防ぐための修正が進んできたのかな、という印象です。

WordPress 公式アプリは記事同期できず

WordPress の公式アプリは以前と同様で、サーバ側と記事を同期することができません。スクリーンショットは投稿画面を開いた時の様子です。

アプリ側で新規の投稿を作り、サーバに上げることはできました(画面にはエラーの通知が出ていましたが…)。でも、サーバ側でその投稿を編集してもアプリの方ではそれを読み込めないので、結局「アプリ→サーバ」という一方通行の同期しかできません。

なお、コメントや統計情報は WAF を有効化する前と同じように見ることができました。

PressSync はほぼエラーなし

一方で、私が普段使っている PressSync についてはほぼエラーなしで、これまでと変わりなく使えています。次の作業は問題なくできました。

  • 新規投稿
  • 予約投稿の時間設定
  • 画像アップロード
  • 過去記事の編集
  • 管理画面にログインしての画像のリネーム

PressSync すごいですね!

エラーが起きるのは特定の文字列を含むケース

先ほど「ほぼエラーなし」と書きましたが、自分が検証した限りでは、新規の投稿であれ過去記事の編集であれ、本文に特定の文字列が含まれるとエラーが発生します。

たとえば、本文の中に javascript と書いてもエラーは起きませんが、javascript: と書くとエラーになります。javascript: というのは、ブラウザでブックマークレットとして JavaScript を実行する時に使うコードです。

/* コメント */alert(); といった文字列もダメでした。

なので、何かしらのプログラムを実行することをうかがわせる文字列が含まれているかどうかを、WAF がチェックしているのではないかと考えられます。特定の HTML タグで囲うことでエラーを回避できるケースもあるのですが、それも文字列によってうまくいく時といかない時があり、基本的にこういった文字列は使えないと思った方がよさそうです。

逆に言えば、こういう文字列を使わないように気を付けさえすれば、WAF を有効化してもモブログへの支障はないのかな、と思います(公式アプリは除いてw)。

セキュリティのためにも、サーバにもともと WAF 機能がある人は、せっかくの機能ですから積極的に使ってみてはどうでしょうか。

One thought on “ロリポップの WAF を有効にした状態で、モブログでできること・できないこと

  1. Pingback: あれ?ロリポップのWAFを有効にしても、するぷろ投稿できるようになったの?違うの? | ローカルブロガーのメモ帳

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です