エックスサーバーの「WAF(Webアプリケーションファイアウォール)」有効化手順をまとめています。
WAFの設定
エックスサーバーにログインして、「サーバー管理」をクリックします。
設定対象ドメインを選択して、セキュリティ「WAF設定」をクリックします。
設定項目全てにチェックを入れて、「確認画面へ進む」をクリックします。
確認画面が表示されるので、「設定する」をクリックします。
WAF設定画面に戻ると、状態が「反映待ち」になっているので、設定が反映されるまで待ちます。
注意書きにも記載されていますが、反映待ちが消えるまでに最大で1時間程かかります。
WAFの注意
WAF(Webアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護する機能です。簡単な設定で不正アクセスからサイトを保護してくれます。
基本的に全てON(有効)推奨ですが、下記の点には注意して下さい。
- 誤検知で通常の管理操作でもエラーが起きる可能性がある
- ログを確認できないので不正アクセスの詳細は確認できない
- 不正アクセスを100%駆除することを保証するものではない
僕はエックスサーバーのWAF絡みでエラーが起きたことはありませんが、ロリポップやConoHa WINGでは、カスタマイザーやSWELL設定の変更時にエラーが起きることがよくある様です。エラーに心当たりがない時は、WAFを一時的に無効にしてみる及び対象のWAF設定を無効にしてみて下さい。
ただ、エックスサーバーのWAFは、不正アクセスに対して「アクセスが拒否されたエラーページを表示する」だけなので、どんな不正アクセスがあったのか?何件あったのか?等、詳細が分からないのが難点です。
また、管理操作でエラーが起きた際も「更新に失敗しました」「閲覧できませんでした」と表示されるだけなので、WAFが原因でエラーが起きていることに気づかない可能性もあります。
ちなみに、サイトがハッキングされている時は、Google Search Consoleでも確認できます。
メッセージが届いている等、サイトに問題がある時は、Google Search Consoleも確認してみて下さい。
最後に
初期設定は全てOFF(無効)になっているので、WAFをON(有効)にしたい方は設定を変更して下さい。
僕は簡単に設定できるかつセキュリティが向上するという理由からWAFを全て有効にしています。
コメント