レンタルサーバーで老舗感のある「さくらのレンタルサーバ」。提供される機能の一つに WAF があるものの、自動的にブロックしてしまうディレクトリ名があったため共有します。
今回はWordPressのプラグイン内にあるディレクトリをWAFが検知してブロックしてしまっていたため、一部の機能が正しく動きませんでした。
目次
さくらのレンタルサーバのWAFとは
さくらのレンタルサーバのWAF機能は SiteGuard を利用しています。
WAF(ウェブアプリケーションファイアウォール) – レンタルサーバーはさくらインターネット
ちなみに、WordPressのセキュリティ系プラグイン「SiteGuard WP Plugin」を提供しており、ご存じの方も多いと思います。
WAFの設定方法に前提条件が書かれている通り、
シグネチャ検査・セッション管理などの検査を実施しており、攻撃にあたると判断したアクセスを遮断いたします。
Webアプリケーションファイアウォール(WAF)の設定 – さくらのサポート情報
WAF側で判断され危険と認知されるとアクセスを遮断されるとあります。本当に危険であれば遮断していいのですが、問題なのは安全なアクセスも遮断してしまうことです。
coreディレクトリが含まれるとWAFは自動的にブロックする仕様
今回セキュリティ系プラグインである iThemes Security Pro を利用したところ二段階認証等一部の機能が正しく機能せず、WAFのログを確認するとアクセスを遮断している形跡がありました。
ディレクトリ名が「core」に対してWAFが働いていたため、「core」というディレクトリ名へのアクセスを全て遮断しているようです。
検証のため、coreディレクトリを作成してアクセスしてみたところアクセス不可でした。
アクセス遮断を確認後、今度はWAFを無効にしてみると、アクセスできました。よって、WAF有効でアクセス遮断を確認しました。
さくらレンタルサーバーのWAF検出ログは時間差で確認できるようなるため、翌日に確認しました。すると同時刻のログがありました。coreディレクトリの場合は「意図しないファイルの公開の可能性(core)」と表示されています。
今回はcoreディレクトリでしたが、その他にもアクセス遮断されるディレクトリ名がある可能性もあります。
iTheme Security を利用する際は注意
無料版のiTheme Security、また有料のiTheme Security pro はどちらもcoreディレクトリが含まれるため、さくらレンタルサーバーの場合はWAFを無効にするか、別のセキュリティプラグインの導入を検討する方向となります。
今回やっかいだと感じたのが、プラグイン自体はインストールもでき、設定画面は問題ないため、一見して不具合に気づかないことです。今回二段階認証をアカウント種別ごとに有効、無効と切り分けて運用しようとした際に、二段階認証無効に設定しているアカウント種別に対してなぜか二段階認証が有効となっており、その原因を調査してこの問題にたどり着きました。
その他のプラグインやテーマでもcoreというディレクトリ名が含まれる場合は同様ですし、coreディレクトリ以外でもWAF検出ログに引っかかったディレクトリやファイルがあればWAF側で自動的に遮断しているということになります。
問題が発生するようならばWAF機能をオフにするのが現実的な対処
特定のディレククトリへのアクセスを許可したり、特定のIPからのアクセスを許可するようなホワイトリストのような機能があれば回避できる可能性がありますが、残念ながらさくらのレンタルサーバにはそのような機能はありません。
一番安い月額130円程度のプランでもWAF機能は使えるため、ある程度はしょうがない、ということなんでしょうね。そういう場合はWAF機能を無効にするしか現状方法はありません。一定のプラン以上でもう少し柔軟に対応できるとありがたいのですが……。
ちなみにレンタルサーバーでも他の会社では今までこのようなことは起こったことはありませんでした。各社色々と機能が異なるので、使ってみないと正直わからない領域ですし、致命的な問題があればサーバーを乗り換えるといった対応になるだけです。
コメントを残す