MarsEditやするぷろがWAFで弾かれる問題、これでようやく解決か?
未だ不正アクセスへの対応に揺れている「ロリポップ!」ですが、ユーザー側でセキュリティを一段上げる方法として、サーバーのWAF(ウェブアプリケーションファイアウォール)を有効化する方法があります。
しかし、これを有効にすると、「MarsEdit」や「するぷろ」といったブログエディタが使えなくなる問題が発生してしまいます。
Photo:Security By undefined
先日の不正アクセスを受けて、再度WAFを有効化したんですが、2日ほど何の問題もなく「MarsEdit」も「するぷろ」も、WAFに弾かれることなく利用できていたんですが、突如3日目にして両ブログエディタが弾かれるようになってしまいました。
詳細は以下の記事にあるとおり。
【ロリポ&WP】WAFの有効化推奨! MarsEditもするぷろも問題なく使えるぞー!
ということで、仕方なく再びWAFを無効化すると共に、対応に忙しいであろうロリポップ! のサポートに問合せてみることにしました。
こちらの問合せとしては上記そのままのことを伝え、事前に調べて知ったペパボの上位レンタルサーバーサービス「heteml」のように.htaccessを使ってどうにかできんのか? と投げてみました。
翌日来た返信を要約すると以下のとおり。
ご利用のプログラムによっては投稿時にブロックされます。
エラーが継続する場合、投稿時のみWAF設定を無効に切り替えてください。
・・・うーん、型通りの受け答えですな。正直納得行きません。当たり前です。
ということで再び問合せ。ちょっと強めに詰問です。
まず、「プログラムによって」とあるが、そもそもブラウザからテーマ編集時にも弾かれるケースがある点、サードパーティならいざしらずWordPressオフィシャルのアプリも弾かれる点。つまりxmlrpc.php
を介したアプリケーションは全部弾かれてるでしょ? という話。
さらに、「投稿時にWAFの切り替え」というが、それは現実的な対応策ではないという点。そもそも切り替えしたところで、反映には5〜10分の時間を要するわけで、モブログ主体に書いている人はブログを書かなければいいと言っているも同然なわけです。
と、まぁこんな旨を添えて、WAF検知によるエラー発生の状況とともに送りました。
そして、再問合せをしてから2日経った今日昼ごろに、この件に対する回答がありました。
こちらも要約すると、
お問合せの件、.htaccessを使ってブロックされずに利用できます。
もし引き続きエラーが発生し、エラー内容が別なら再度エラー内容を記載の上連絡ください。
とのこと。そう! それだよ! 求めていたのはそれなんだよ!!
ということで、メールに記載されていた一文を.htaccessに追記して保存。さらにWAF設定を有効にしてみました。
で、そっから5分後、WAFがまず有効化されたかどうかをブラウザから確認します。
確認方法はURL末尾に?a=<script>alert(1)</script>
を入れるというもの。無効状態なら普通に表示されますが、有効であれば403 Errorが返ってきます。
はい、ドーーーン。ちゃんと有効になってますね。
この状態で、常用しているブログエディタアプリ「MarsEdit」と「するぷろ」からの投稿テスト。試しに新規記事を書いてみたところ、うむ特に問題なく弾かれずに投稿できました。
また、するぷろのほうはWi-Fi環境のテストだけでは心もとなかったので、3G回線にして試してみましたが、こちらも問題なく投稿だん。よしよしよし。
ちなみに、.htaccessに記述したのは以下のとおり。
公開しちゃっていいものかどうかわからん上に、人によって記述する内容が部分的に違う可能性もあるので、まんまコピペしてダメだったとしても、当方では責任持てません。
ダメならダメで、ちゃんとサポートにエラーログと併せて問合せてくださいね。
SiteGuard_User_ExcludeSig xss-try-1
一応うちでは、こんな感じで投稿できない問題はひとまずクリアできました。
ただ、時間の経過とともにまたダメになるケースも多分に考えられるので、しばらくは様子見といったところでしょうか。
これでセキュリティを保ちつつブログライフが送れるといいんですがね。
カテゴリ: ソーシャルネットワーキング
価格: ¥3,450 (掲載時現在)
カテゴリ: ソーシャルネットワーキング
価格: ¥450 (掲載時現在)