a-blog cms と WAF
記事を書いた人:Webデザイナー 新謙二
先日の「簡単に出来る a-blog cms のセキュリティ強化方法」の時にも少し出ましたが、今回はWAF(Web Application Firewall)の話です。
最近はクラウド型や、サーバに付属で提供されているものが多く、手軽に使えるものがありますので、出来るだけ多くのサイトに導入したいと思っています。
しかしその反面、CMSでは更新時に誤検知してエラーになるなど、運用でネックになる場合があります。まだサイト運営者が把握していれば良いんですが、知識がない方だとトラブルの元にもなったり…。
そんな悩ましいWAFですが、サーバによっては大丈夫だったりもしますので、a-blog cmsで使えるところを見極めたい。
まだXSERVERとCPIのWAFしか使ったことがないのですが、今までの経験ではXSERVER(X10系)は誤検知は少なく、CPI(シェアードプランACE01)は頻繁にエラーが出る印象でした(個人的な見解です)
ということで、CPI(シェアードプランACE01)を使う時は、WAFはOFFで考えていましたが、今回調べる中でCPIのWAF設定方法(CPIオンラインヘルプ:特定シグネチャの除外方法)をオフィシャルのヘルプで見つけましたので、メモしておきます。
方法はとても簡単で、.htaccessに記述するだけです。
#特定のIPを指定して除外する方法 <IfModule siteguard_module> SiteGuard_User_ExcludeSig ip(xxx.xxx.xxx.xxx) </IfModule>
「ip(xxx.xxx.xxx.xxx)」のxに作業環境のIPを入れます。
ここで設定したIPの時にだけWAFをOFFにしますので、IPは固定である必要があります。
複数IPの場合は3行目の内容「SiteGuard_User_ExcludeSig ip(xxx.xxx.xxx.xxx)」のIPを変えて、下に1行追加すれば大丈夫みたいです。
決められた環境からしか更新しない場合で、外部からの投稿がないサイトはこれでOKな気がします。
また、検出されたシグネチャ毎に除外を設定する方法もある様です。
#特定のシグネチャを指定して除外する方法 <IfModule siteguard_module> SiteGuard_User_ExcludeSig signature1,signature2 </IfModule>
この場合、検出されなくなる反面、この部分は機能しませんのでセキュリティ面からみると微妙ですよね…。
サイトに外部から投稿されるものがあり、仕方なく一部制限を緩和するといった感じでしょうか。
a-blog cmsでWAF搭載の他サーバを使う機会があれば、また調べてみようと思います。
WAFはクラウドサービスも沢山ありますし、まだまだ勉強中なので、また何か良い情報があったら書きたいと思います。