PHP工房トップ

HOME > News&Tips一覧ページ > ロリポップのWAF機能でPHPを使ったCMSの記事の更新、変更ができない

ロリポップのWAF機能でPHPを使ったCMSの記事の更新、変更ができない

2015/03/19

2017/9/7追記

最近ではファーストサーバでも導入されたようです。(実際にはzenlogicというサーバに移行した)

下記でWAFを無効化するとしていますが、可能であれば出来る限りWAF機能は活かしたまま、
エラーが出た場合にはそのエラーを除外ルールに設定するほうが良さそうです。

「WAF 除外ルール設定」などでネット検索すればたくさんの有意義な情報が見つかると思います。
まぁただ明らかに誤検知もあるので、怖い機能であることは変わらないと思います。
特にWAFのフィルターというかアルゴリズムというかルールは随時更新されているようで、
今まで何でもなかったものがある日突然エラーが出るという厄介な問題があります。

またたとえば、最近の報告ではCMSで中古車ポータルサイトのGooのURLを入力すると
なぜか403エラーになるという不具合がありました。これも完全に誤検知ですね。

WAFをOFFとするのか、または除外ルールに登録するなどで活かすのか、判断が難しいところですが、あくまでもご自身で判断いただければと思います。

追記以上。


ロリポップ系(ヘテムル含む)ではWAFという機能が備わったらしく、これがまた強力過ぎて一般的なPHPの動作に影響が出るという問題があちらこちらで騒がれてます。(※追記 CPIでも導入されたようです)

これのせいで当サイトのPHPプログラムのCMSにて記事の登録(更新、または編集)、及び画像がアップできない可能性があります。
まぁ私が言うのもあれですが、これはマジでシャレにならないレベルです。。(当サイトのプログラムに限った話じゃありませんので)

更新時に以下の様なメッセージが表示されます。

403 Error - Forbidden

※指定されたページ(URL)へのアクセスは禁止されています。

あくまでも新規で契約した場合にデフォルトでONとなっているようで、過去に契約したものはおそらくOFFになっています。

以下が詳細です。
http://lolipop.jp/waf/


対処法

無効化する。無効化はサーバー管理画面で出来るようです。セキュリティ的に不安もあるかもしれませんが、そもそもこれは以前は付いていませんでした。

また現状プログラム側では対処のしようがないため、エラーが出る場合は無効化頂く必要があるかと思います。

あれでしたらこの機能ではなく、FTPのアクセス制限などを利用するという方法もあります。

2016/2/21追記

下記の方法ですが、解決できないとしていましたが、WAFのエラー内容に合わせて「sqlinj-20」部分を変更する必要があるようです。(未確認)
※エラー内容はサーバー管理画面内のWAFのログで分かるようです。
これで対処できる可能性がありますので試してみる価値はあるかもしれません。
よく分からない、またはうまくいかない場合はやはりOFFにするしかないでしょう。

2015/9/18追記

下記の方法ですが、残念ながらこれでは解決できないようです。。。
要するに管理画面でOFFにするしか無いようです。
(少なくとも今現在私は解決法がわかりません。)

また実際には新規投稿時は問題ないようです。
更新(編集)時にエラーとなるようですね。

2015/6/5追記
ロリポップから以下内容にてメールがあったとI様よりご報告頂きました。
これにて解決されたそうですのでご参考下さい。
この場を借りてI様に感謝申し上げます。

*********************************************************

WAF設定をオンにしたままファイル編集を可能にするためには、
以下の内容を記述した「.htaccess」ファイルをサーバー上へ
アップロードいただくことでご対応いただけます。

「.htaccess」の作成はロリポップ!FTPなどでFTPサーバーに接続し
新規ファイル作成にてファイル名を「.htaccess」と設定いただき
ファイルの内容に該当の記述を記載いただきます。

 ※既に「.htaccess」が作成されている場合は追記にてご対処くださいませ。

-------------------------------------
SiteGuard_User_ExcludeSig sqlinj-20
-------------------------------------

*********************************************************

要するに
SiteGuard_User_ExcludeSig sqlinj-20
と書いたhtaccessファイルを置けばOKということのようですね。

※追記 単純にこの記述ではダメなようで、WAFのエラー内容に合わせて「sqlinj-20」部分を変更する必要があるようです。(未確認)


メリット、デメリットを熟慮するということを知らないのでしょうか。。。(大規模攻撃を受けるよりは良いと考えたんでしょうかね)
まぁロリポップはここ数年大量の大規模な攻撃を受けていて、散々な目にあってますからね。

理解は出来ますが、プログラムの根本的かつ至ってシンプルな動作に影響するようなことは困ります。。。
その他の方法で対処できないんでしょうか。。ボソ

PHPメールフォーム(無料版)

PHPメールフォーム(有料版)

新着情報・更新履歴CMS(無料版)

投票・アンケートシステム(無料版)

テロップCMS(無料版)

写真ギャラリーCMS(無料版)

営業日カレンダーCMS(無料版)

営業日カレンダーCMS(有料版)

カレンダー予約フォーム(無料版)

カレンダー予約フォーム(有料版)

リンク集ページCMS(無料版)

アクセスカウンター(無料版)

ダウンロードカウンター(無料版)

その他

メールフォームの各種カスタマイズならお任せ下さい
業務効率化が可能なPHPオリジナルCMS制作します

役立つかも?なもの

豆知識や役立ち事など

PHPについて

各種情報