• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer

株式会社ハイファイブクリエイト

東京都を拠点にWebサイト制作やシステム構築、WordPress保守管理やウェブコンサルティングを提供。

  • SERVICE
  • ABOUT
  • WORKS
  • BLOG
  • NEWS
  • CONTACT
ホーム / ブログ / WordPress / さくらのレンタルサーバのWAFが自動でブロックするディレクトリ名

さくらのレンタルサーバのWAFが自動でブロックするディレクトリ名

池田祐太郎 | 2021年11月26日 公開 コメントを書く

レンタルサーバーで老舗感のある「さくらのレンタルサーバ」。提供される機能の一つに WAF があるものの、自動的にブロックしてしまうディレクトリ名があったため共有します。

今回はWordPressのプラグイン内にあるディレクトリをWAFが検知してブロックしてしまっていたため、一部の機能が正しく動きませんでした。

目次

  • 1 さくらのレンタルサーバのWAFとは
  • 2 coreディレクトリが含まれるとWAFは自動的にブロックする仕様
  • 3 iTheme Security を利用する際は注意
  • 4 問題が発生するようならばWAF機能をオフにするのが現実的な対処

さくらのレンタルサーバのWAFとは

さくらのレンタルサーバのWAF機能は SiteGuard を利用しています。

WAF(ウェブアプリケーションファイアウォール) – レンタルサーバーはさくらインターネット

ちなみに、WordPressのセキュリティ系プラグイン「SiteGuard WP Plugin」を提供しており、ご存じの方も多いと思います。

WAFの設定方法に前提条件が書かれている通り、

シグネチャ検査・セッション管理などの検査を実施しており、攻撃にあたると判断したアクセスを遮断いたします。

Webアプリケーションファイアウォール(WAF)の設定 – さくらのサポート情報

WAF側で判断され危険と認知されるとアクセスを遮断されるとあります。本当に危険であれば遮断していいのですが、問題なのは安全なアクセスも遮断してしまうことです。

coreディレクトリが含まれるとWAFは自動的にブロックする仕様

今回セキュリティ系プラグインである iThemes Security Pro を利用したところ二段階認証等一部の機能が正しく機能せず、WAFのログを確認するとアクセスを遮断している形跡がありました。

ディレクトリ名が「core」に対してWAFが働いていたため、「core」というディレクトリ名へのアクセスを全て遮断しているようです。

検証のため、coreディレクトリを作成してアクセスしてみたところアクセス不可でした。

支障のない場所で core ディレクトリを作って検証した結果、WAFが制限していることを確認

アクセス遮断を確認後、今度はWAFを無効にしてみると、アクセスできました。よって、WAF有効でアクセス遮断を確認しました。

さくらレンタルサーバーのWAF検出ログは時間差で確認できるようなるため、翌日に確認しました。すると同時刻のログがありました。coreディレクトリの場合は「意図しないファイルの公開の可能性(core)」と表示されています。

コントロールパネルからWAFのログが確認できる

今回はcoreディレクトリでしたが、その他にもアクセス遮断されるディレクトリ名がある可能性もあります。

iTheme Security を利用する際は注意

無料版のiTheme Security、また有料のiTheme Security pro はどちらもcoreディレクトリが含まれるため、さくらレンタルサーバーの場合はWAFを無効にするか、別のセキュリティプラグインの導入を検討する方向となります。

今回やっかいだと感じたのが、プラグイン自体はインストールもでき、設定画面は問題ないため、一見して不具合に気づかないことです。今回二段階認証をアカウント種別ごとに有効、無効と切り分けて運用しようとした際に、二段階認証無効に設定しているアカウント種別に対してなぜか二段階認証が有効となっており、その原因を調査してこの問題にたどり着きました。

その他のプラグインやテーマでもcoreというディレクトリ名が含まれる場合は同様ですし、coreディレクトリ以外でもWAF検出ログに引っかかったディレクトリやファイルがあればWAF側で自動的に遮断しているということになります。

問題が発生するようならばWAF機能をオフにするのが現実的な対処

特定のディレククトリへのアクセスを許可したり、特定のIPからのアクセスを許可するようなホワイトリストのような機能があれば回避できる可能性がありますが、残念ながらさくらのレンタルサーバにはそのような機能はありません。

一番安い月額130円程度のプランでもWAF機能は使えるため、ある程度はしょうがない、ということなんでしょうね。そういう場合はWAF機能を無効にするしか現状方法はありません。一定のプラン以上でもう少し柔軟に対応できるとありがたいのですが……。

ちなみにレンタルサーバーでも他の会社では今までこのようなことは起こったことはありませんでした。各社色々と機能が異なるので、使ってみないと正直わからない領域ですし、致命的な問題があればサーバーを乗り換えるといった対応になるだけです。

メールコンサルティング
WordPress保守管理サービス

Filed Under: WordPress 関連タグ:waf, サーバー

池田祐太郎

WordPress の構築・保守を10年以上にわたって手掛けており、主に小〜中規模のコーポレートサイト・ECサイト・ブランドサイト等の企画・開発・保守・コンサルティングなどを行ってきました。2012年にハイファイブクリエイトを創業し、現在は WordPress の保守やコンサルティング、ディレクションや開発業務などを担当しています。 プロフィール詳細

Reader Interactions

コメントを残す コメントをキャンセル

メールアドレスが公開されることはありません。 ※ が付いている欄は必須項目です

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

この記事と関連する記事

なぜかSSL化されないエックスサーバーのWordPress 簡単インストール機能でhttpsに変更し常時SSLを実現する方法
2022年5月24日
タグ: SSL, サーバー
カテゴリー: TIPS
大量ファイル数によりXserver自動バックアップ機能が無効になったときにやること
2022年3月15日
タグ: ssh, サーバー
カテゴリー: TIPS
KUSANAGIの技術を取り入れた最新Xserverに移行後のパフォーマンス比較結果
2022年2月25日
タグ: Webサイト高速化, サーバー
カテゴリー: WordPress

人気記事

  1. 同一サーバー上に構築するWordPressのテスト環境の作り方
  2. git pull してもエラーが出てファイルが反映されないときの対処法
  3. サイト制作の要件定義書に普段書いている内容(ダウンロード可)
  4. WordPressの固定ページでタグやカテゴリーを使いたいときはカスタム投稿タイプを検討する
  5. ダウンロードして即使えるサイトマップ(サイト構成図)のテンプレート5点
  6. WordPress において PHP 8.1 に更新していいかどうか検証

最初のサイドバー

WordPress保守管理サポート

Search

最近の投稿

  • WordPress サイトを多言語化するプラグイン5選(自動翻訳サービス除く)
  • ウェブサイトを自動的に多言語対応する各サービスを比較します
  • WooCommerce のバリエーションのある商品を追加して売上向上を図る
  • 目次生成プラグインの TOC+ が表示されなくなったときの対処法
  • ChatGPT の有料版「ChatGPT Plus」を使ってみた

カテゴリー

  • CSS初心者
  • HTML初心者
  • TIPS
  • WooCommerce
  • WordPress
  • エステサロン
  • お知らせ
  • キュレーション
  • サイトマップ
  • システム会社
  • デベロッパーツール入門
  • ブログ
  • ホームページ制作
  • ホームページ制作無料講座
  • メール
  • モバイル
  • 仕事のこと
  • 制作実績
  • 整体院
  • 美容院
  • 雑感

タグ

Android BtoC CMS css elementor git Google+ google workspace Gutenberg HTML iPhone jQuery Mac MAMP php SEO SNS SSL Sublime Text Webサイト高速化 Windows WordPress WordPressカスタマイズ WordPressテーマ WordPress構築調査 WPRocket アクセス解析 アプリ クラウドソーシング サイト引っ越し サブスクリプション サーバー ショートカットキー スマホサイト スマートフォン ツール フルサイト編集 ブログ プラグイン マーケティング リニューアル 保守管理 多言語 最適化 集客するサイト構築

アーカイブ

CONTACT

お問い合わせはこちら

Footer

  • PRIVACY POLICY
  • 情報セキュリティ基本方針
  • 特定商取引法に基づく表示
  • 転載/引用

© 2023 high five create All rights reserved.