XSERVERのWAF(Webアプリケーションファイアウォール)設定をする方法




レンタルサーバーのエックスサーバーがWebサイトのセキュリティを強化する「WAF設定」を無料で利用できるようになりました。

自分の管理しているWebサイトに「WAF設定」機能を適用することで、セキュリティをさらに強化することが可能でるわけです。

と言われても、細かいことを知らない人間としてなんじゃろほい? なのですが、セキュリティ関連の本やWebサイトを見ていると、XSS対策やSQLインジェクションといった言葉が出てきます。こういった攻撃の対策が強化できるって理解でいいでしょうね。

ここでは、エックスサーバーの「WAF設定」の方法についてまとめておきましょう。

WAFとは

WAFとはウェブ・アプリケーション・ファイアウォールの略称で、Webサイト上で動作するプログラムの脆弱性に対する主要な攻撃を幅広く防ぐことを目的とした機能です。

WAFは、脆弱性に対する完全な防御を保証するものではなく、多重のセキュリティ対策の一環として利用されるものです。基本的にプログラム本体側でしっかりセキュリテイ対策をする必要があります。

エックスサーバーで対策できるWAF設定は以下の6つ。

  • XSS対策 – javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知。
  • SQL対策 – SQL構文に該当する文字列が挿入されたアクセスについて検知。
  • ファイル対策 – サーバーに関連する設定ファイルが含まれたアクセスを検知。
  • メール対策 – to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知。
  • コマンド対策 – kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知。
  • PHP対策 – session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知。

それぞれの不正アクセスについての詳細は、こちらの本などを参考にしてください。

この本はWebアプリケーションの脆弱性について対処法を学ぶための定番に位置する本なので、しっかり学びたい人は読んでみることをおすすめします。

エックスサーバーの「WAF設定」の方法

では、エックスサーバーで「WAF設定」の手順を順にみていこうと思います。

サーバーパネルにアクセス

エックスサーバーの管理画面にログインして、サーバーパネルにアクセスします。

画面の右下の方に「セキュリテイ」という欄があり「WAF設定」の項目が用意されているので、ここをクリックします。

設定するドメインを選択する

ドメイン選択画面に画面が切り替わります。

ここで、自分の管理しているドメインの一覧が表示されているので、WAFの設定を行うドメインの「選択する」をクリックします。

WAFの設定を変更する

WAF設定の画面が表示されます。

6つの項目が最初は全てOFFになっています。全て一括で変更することはできないようなので、ここでは「XSS対策」の設定を行います。右端にある「ONにする」のボタンをクリックします。

画面が切り替わって設定が完了です。

「戻る」ボタンをクリックして、前の画面に戻ります。

WAF設定完了

設定画面に戻りました。

「XSS対策」の項目の状態が「ON」になっているのがわかります。設定を解除するには「OFFにする」ボタンをクリックすることで可能です。

必要なら他の項目も同様の方法でWAFの設定を変更すれば完了です。

以上が、エックスサーバーのWAF設定の流れでした。

最後に

エックスサーバーの機能強化は、結構他のサーバーと比較しても早いと思うのでとてもありがたいです。WAFの設定も簡単でしたね。

ただ、WAF設定は厳格なルールに従って不正アクセスを判断しているので、使ってるWebアプリケーション、例えばWordPressの動作について影響を与える場合もあるので、その点だけは頭に入れて設定の変更をしましょう。

私の場合、時々、過去記事の編入していると、こんなエラー表示が出ることがありました。

文中に引っ掛かるような文字列が合ったりとか、リンク先の文字列がダメだったりとかで、更新やプレビューをするとこれが表示されました。

ちょっとこのあたりは実際に直面すると思ったように編集ができなかったりします。今のところ2回、これが発生しました。検討をつけて文中の中の文字列やリンクを削除してなんとか乗り切ってる感じです。