サーバーの管理画面を開いたとき、こんな項目を見かけたことはありませんか?
WAF:ON / OFF
「なんとなくONにしておけばいいか」と思ってスルーしていた方も多いのではないでしょうか。
私もはじめはそうでした。
でも、WordPressを使い続けていると、このWAFが原因でエラーが起きたり、逆にWAFがあるおかげで助かっていた、という場面に出くわします。
この記事では、WAFとは何か・何をしているのかを、専門用語を極力使わずに説明します。
WAFとは「Webサイト専用の門番」
WAF(Web Application Firewall) とは、Webサイトへの通信をリアルタイムで監視して、悪意のある攻撃をブロックするセキュリティ機能です。
「ファイアウォール」という言葉を聞いたことがある方もいると思います。一般的なファイアウォールが「ネットワーク全体への不正アクセスを防ぐ壁」だとすると、WAFはもう少し内側にある「Webアプリケーション(WordPressなど)への攻撃に特化した門番」です。
WAFが防いでいる攻撃の種類
WAFは、主に次のような攻撃を検知・ブロックします。
SQLインジェクション
データベースに不正な命令を送り込む攻撃です。たとえば、お問い合わせフォームに悪意のある文字列を入力することで、データベースの情報を盗んだり改ざんしたりしようとします。
WordPressはデータベースと密接につながって動いているため、この攻撃の標的になりやすいです。
XSS(クロスサイトスクリプティング)
Webページに悪意のあるスクリプト(プログラム)を埋め込む攻撃です。サイトを訪れたユーザーのブラウザ上でスクリプトが実行され、個人情報が盗まれたり、別の不正なページに誘導されたりします。
ブルートフォース攻撃(総当たり攻撃)
ログインパスワードを片っ端から試す攻撃です。WordPressのログイン画面(/wp-login.php)はとくに狙われやすく、WAFがこれをブロックしてくれます。
ディレクトリトラバーサル
Webサーバー上の本来アクセスできないファイルに、不正なURLを使って侵入しようとする攻撃です。設定ファイルやパスワードファイルを盗み見ることを目的としています。
WAFはどこにある?
WAFは1か所だけにあるわけではなく、サービスや構成によっていくつかの場所に存在します。
レンタルサーバーのWAF(サーバー型)
ConoHa WING・XServer・さくらインターネットなど多くのレンタルサーバーには、WAFが標準搭載されています。
サーバーのコントロールパネルからON/OFFを切り替えられるのが特徴です。
WordPressを使っていて「テーマ設定を保存したら403エラーが出た」という場合、多くはこのサーバー型WAFの誤検知が原因です。
クラウド型WAF(CDN経由)
Cloudflareなどのサービスを使うと、Webサーバーの前段でWAFが働きます。
世界中に分散したサーバーを経由することで、大量のアクセスを使ったDDoS攻撃にも対応できます。
大規模なサイトや、セキュリティ要件が厳しい企業サイトで使われることが多いです。
個人ブログでも無料プランから使えるため、導入する方も増えています。
WordPressプラグイン型WAF
WordPressのセキュリティプラグイン(SiteGuard WP Plugin・Wordfenceなど)にも、WAF機能が含まれています。サーバーのWAFとは別に、WordPress内部でもう一段守りを加えるイメージです。
プラグイン型はWordPressに特化したルールセットを持っていることが多く、WordPress固有の攻撃パターンに強い傾向があります。
WAFが「誤検知」するとどうなる?
WAFは攻撃パターンに似た通信を自動でブロックするため、正常な操作まで誤ってブロックしてしまうことがあります。これを「誤検知(フォールスポジティブ)」と呼びます。
代表的な誤検知の症状は以下のとおりです。
- 403 Forbidden エラー:管理画面での設定保存・フォーム送信・プラグインのインストール時などに突然表示される
- 特定のページだけ表示されない:リクエストの内容によってブロックされ、ページが開かなくなる
- お問い合わせフォームが送信できない:フォームの入力内容がWAFのルールに引っかかってしまう
もし原因不明の403エラーが出たら、まず「WAFの誤検知ではないか?」を疑うのが近道です。
WAFをOFFにしていい場面・絶対NGな場面
WAFは必要に応じてOFFにできますが、扱いには注意が必要です。
OFFにしていい場面(一時的・作業中のみ)
- テーマ設定やプラグインの設定を保存するとき
- フォームの動作確認をしているとき(誤検知が疑われる場合)
- テスト環境でトラブルシューティングをしているとき
これらは作業中だけOFFにして、終わったらすぐONに戻すことが大前提です。
OFFにしてはいけない場面
- 本番環境を公開したままにしておくとき
- 長時間その場を離れるとき
- 「なんとなくOFFのほうが軽そう」という理由だけのとき
WAFをOFFにしている時間が長いほど、攻撃にさらされるリスクが上がります。作業が終わったら必ずONに戻す、を徹底してください。
WAFは「あって当たり前」のもの
最後に、大切な前提をひとつ。
WAFは「必要な人だけが使うもの」ではなく、Webサイトを公開するなら標準装備しておくべきものです。
Webサイトはインターネットに公開された瞬間から、世界中からのアクセスにさらされます。小さなサイトだから大丈夫、というわけではなく、むしろ手薄なサイトほど標的になりやすいのが現実です。
レンタルサーバーのWAFがデフォルトでONになっているのも、そういう理由からです。「よくわからないからOFF」ではなく、「何かトラブルがあるときだけ一時的にOFF」が正しい使い方です。
WAFを正しく理解して、うまく付き合っていきましょう。
まとめ
| 項目 | 内容 |
|---|---|
| WAFとは | Webサイトへの攻撃を検知・ブロックするセキュリティ機能 |
| 防ぐ攻撃 | SQLインジェクション・XSS・ブルートフォース攻撃など |
| 種類 | サーバー型 / クラウド型 / プラグイン型 |
| 誤検知の症状 | 403エラー・フォーム送信失敗・特定ページが開かないなど |
| 正しい使い方 | 基本はON。作業中だけ一時的にOFFにして、終わったら必ずONに戻す |
