【ロリポ&WP】WAFの有効化推奨! MarsEditもするぷろも問題なく使えるぞー!
ロリポップ! には外部ネットワークからの不正アクセスを防ぐ、ウェブアプリケーションファイアウォール(WAF)という機能が用意されています。
推奨というか、今回の騒動きっかけで勝手に有効化されるらしいんですが、セキュリティ的に自ら有効化しておくのが吉かと。
Photo:Canyon By Jonathan Kos-Read
8/29時点でWAFを有効化し、8/30段階では特に問題なく更新ができていましたが、8/31になってからxmlrpc.phpへの不正アクセスとして、またもや検知されるようになってしまいました。
ロリポップ!側の設定変更によるものなのかどうかはわかりませんが、昨日時点でWAFが動いていたことは、
?a=<script>alert(1)</script>
をURL末尾に入れて、403ERRORが返ることで確認していたんですけどねぇ。
とりあえず、現時点では再度オフにせざるを得ない状況ですが、ヘテムルにWAF除外設定があることを確認しているので、ロリポップ! でも同じことができないかを問合せている最中です。
まぁ、正直今のところ問合せ件数もえらいことになってるだろうし、場合によっちゃ返答すらこない可能性もありますが、ひとまず待ちたいと思います。
その後、2度の問合せを行った結果、WAFにブロックされない方法をサポートの方に送ってもらいました。こちらについては以下の記事でまとめてあります。
MarsEditやするぷろがWAFで弾かれる問題、これでようやく解決か?
過去に起きたWAF有効化の弊害
サーバーセキュリティの向上に繋がるWAF。
ロリポップ! がこの機能を実装したのは、2013年2月末のことでした。
この機能は、申し込み時期によって初期設定の有効・無効が割り振られていたのですが、リリースとともに有効化されたユーザーで、かつMarsEditやするぷろといったxml-rpc
を通して更新などを行うツールを利用しているユーザーの間で、通信がブロックされて更新できなくなるという事態が多数発生しました。
上記のリンク先でも説明されていますが、その対応策としてはWAFを無効化するしかなかったんですよね。
実際、僕も機能がリリースされた直後にWAFを有効化してみたところ、同じようにMarsEditから更新ができず、すぐに無効化してしまっていました。
今回の騒動でWAFを有効化してみた
現在、各所で話題にされている通り、8/29未明から、ロリポップ! レンタルサーバーを対象としたクラッキングによって、実に約8500件のサイトが改竄被害に遭うという事態となり、現在もなおその対応が進められている真っ最中です。
ロリポップ! 側がこの対応策のひとつとして、不正ファイルを検知したユーザーのサーバ領域に、また不正ファイルが仕込まれないよう、WAFを随時有効にしていくことが挙げてきたわけですが、前述のとおりWAFが有効化されるとMarsEditやするぷろといったアプリケーションが利用できなくなることが考えられるわけです。
とは言え、無効にしたままだといつまた同じような事態が引き起こされるか。
たまたま今回うちは被害に遭いませんでしたが、次どうなるかなんかわかったもんじゃありません。
そこで、試しにWAFを有効化してみて、更新ができるかできないかを再度チェックし、仮にダメだった場合に考えていた方法を試してみようってことで設定してみました。
ということで、ロリポップ! の管理画面にログインし、「WEBツール」→「WAF設定」に進み、このブログのドメインのWAFを有効化しました。
反映には5〜10分ほど待つ必要があるので、しばらく放置した後、まずはするぷろを使って、試しにテスト投稿をしてみたところ、
あれ、普通に行ける・・・。
いやいやいや、まだ反映が完了してないんじゃないの? と思い直し、またしばらく経ってからやってみると、やっぱり更新できる。
また、MarsEdit側でも、以前WAFを有効化したときはリロードするとログインを求められる無限ループになっていましたが、今回は全然問題なく記事一覧、カテゴリを取得。
試しに過去記事を編集してみましたが、こちらも特に問題なし。
ということで、有効化を前に考えていた対策法を試すことなく実験終了。今はWAFを有効化しても、普通にMarsEditもするぷろも問題なく投稿できるってことですね。
いつからアクセスを検知されないようになっていたのか判りませんが、ロリポップ! でWAFの詳細な設定が見直されたのか、それともWordPressが3.5をWAFの検知対象となっていたxml-rpc.phpをデフォルトで有効化したからなのか。ふーむ全然わからん。
いずれにしてもですね、これまでMarsEditやするぷろのためにWAFを無効にしていた人は、すぐさまWAFを有効化し、セキュリティの向上に努めるべきじゃないでしょうか。
こうした外部更新ツールがWAF有効下でも問題なく利用できるのであれば全然問題ないですもん。
事態は収束の方向に向かっているとは思いますが、今後のためにもセキュリティの向上は図っていたほうがいいです。
ついでに、ロリポップ! へのログインパスワードや、FTPのログインパスワードも強固なものに変更するなど、ユーザー個人でできるセキュリティ対策も実施しておくべきですね。
カテゴリ: ソーシャルネットワーキング
価格: ¥3,450 (掲載時現在)
カテゴリ: ソーシャルネットワーキング
価格: ¥450 (掲載時現在)