2016/11/12

管理画面から更新で403 ERROR Forbidden!WAFの誤認を初心者向けに、ストーリーにして説明

誰でもわかる!WAFと403エラーの関係

WordPresで投稿画面やphpなど更新しただけなのに、指定されたページへのアクセスは禁止されています。と403 ERROR Forbiddenが出てしまった。。WAFの誤認だってわかったけど、何でエラーになったか簡単に詳しく知りたいですよね。

詳しい人なら当たり前だろうけど難しいから極力簡単にザックリ、誰でもなるほどぉってなるように、セキュリティーWAFの事、悪意ある攻撃もほんのり入れながら書いていきますねっ。

WAFの誤認によるエラー解決がまだなら数分で済むので下記で解決してください。

LINK403エラーの原因はWAF!対処し解決する方法!:ロリポップ、さくら、ヘテムルのサーバー

スポンサーリンク

セキュリティー、WAFとは?簡単に理解しよう!

【WAF】と書いて『わふ』っと読みます。『ウェブ アプリケーション ファイアウォール』の頭文字をとったものです。その『ワフ』はレンタルサーバーが扱っているWebアプリのファイアーウォールって事です。

WAFとは
外部から『ブログの閲覧禁止ファイル』に不正侵入を禁止して外部攻撃から守るセキュリティ。不正アクセスを見つけたら、攻撃をブロックするために403 Forbidden(アクセス権がないから閲覧禁止!)を出しアクセスを遮断。

不正アクセスでブログの基盤であるデータベース情報などへの機密データを盗もうとしたり、ページ内容を改ざんしようとするのを防いでくれるもの。

WAFは最新の攻撃パターンを自動で更新してるから『WAF機能をON』にしてる場合でURLがHTTP経由(httpsは対応してない)のみ不正侵入を遮断する。

遮断したアクセスは、WAF設定の『ログ参照』のシグネチャ(WAFが遮断した攻撃のルール)で見ることができる。

ロリポップのWAFのログ参照画面

WAFが検知したシグネチャ悪意ある攻撃ルール『traversal-1』

参考WAF(ウェブアプリケーションファイアウォール)|さくら

参考WAF(ウェブアプリケーションファイアウォール)|ヘテムル

参考WAF ウェブアプリケーションファイアウォール|ロリポップ

WAFの誤認とは

WAFは、外部からの不正侵入を阻止します。でも運営者が投稿画面から更新ボタンをクリックしただけで、不正侵入と誤認することがあるんです。運営者が「閲覧禁止」になって、ページに入れません。

WAFを擬人化し初心者向けストーリーとして、WAFに誤認を説明してもらいましょう♪まずは登場人物から紹介します。

  • 正義のWAF
  • 悪の末裔A、B
  • 説明ぼうや
  • 運営者として『かうたっく』
正義のWAF
外部からWeb上で攻撃を受けた時に、ブログのデータファイル守るのが僕の役目だよっ。

って事で、ストーリー仕立てにすると分かりやすいので、見てみましょう♪

情報漏えい防止編

@ViralClubさんのクロスサイトスクリプティングの仕組み・脅威から対策ページのとおり『javascript』『HTMLタグ』などをゴニョっとされるとブログのログイン パスワードを不正ログインされたり、入力フォーム個人情報を取られたりします。

こんな事をされては困るのでWAFは戦うんです。

悪の末裔A
う~っしっし~、『おかしなプログラム』を埋め込んでやるぅ~!
正義のWAF
なんだっ、『おかしなプログラム』を送り込もうとしてるなっ!!『情報漏えい』させてたまるかぁ!
説明ぼうや
そこでWAF、ファイアーウォールは取って置きの技を繰り出すのであります!
正義のWAF
403 Error Forbidden!ページへのアクセスは禁止!!
悪の末裔A
はっ!ココはもう入れないじゃないっ。。ブロックされたぜっ、まっ、違うヤツ狙ってやる、バイバイ!

私のブログは、悪の末裔に403ページを出してる状態となります。

私のブログは、403ページの表示がある

かうたっく
知らないうちに、助かってた!WAFのログ参照を見て、やっと気付いた!waf-log

ありがとう、WAF^^

説明ぼうや
運営者は、何のことだか解らないまま、情報漏えいの危機から救われたのであったっ!やるねぇ、WAF!

乗っ取り改ざんの防止編

悪の末裔B
ふっ!データベースに潜り込んでやるっ!
正義のWAF
なんだっ、悪さしてるなっ!データベースに潜り込もうとしてるのかぁ!「乗っ取りや改ざん」させてたまるかぁ!
説明ぼうや
SQLインジェクションサーバの乗っ取りはさせないよぉって頑張ってるなぁ!さぁ、よろしくWAF!
正義のWAF
がってん、任せろっ「403 Error Forbidden」ページへのアクセスは禁止!
説明ぼうや
WAFは403ページを出して、乗っ取りから救ったのであーるっ!良かったねっ、運営者かうたっく♪

悪の末裔Bから見た私のブログは403ページを出して閲覧禁止にしている!

2015-03-27-19.43.44

かうたっく
えっ、そうなの!?知らない間に助けてくれたのね!ありがとうWAF

WAFの勘違い編

かうたっく
よしっ、PHPの更新(画像ファイルをアップや管理画面の更新など)しよっと♪
正義のWAF
なんだっ!どこかで誰かが悪さしてるなっ!PHPに潜り込もうとしてるのかぁ!!このやろぉ~!
説明ぼうや
ちょっ、ちょっと待ってぇ、、ウェブ アプリケーション ファイ・・・
正義のWAF
皆までいうな(。-`∀・)b「403 Error Forbidden」ページへのアクセスは禁止!
説明ぼうや
あっちゃ~、はやとちりっ(/ε\*)

2015-03-27-19.43.44

かうたっく
えぇぇぇぇっ、私、運営者だよぉ!やりよったなぁWAFくーん。
ちゃんちゃん┐(´∀`)┌

ざっと、こんな感じでWAFは動作してくれてます。そして、時たま?ハヤトチリもあるって事なんですよっ♪

403ページが出てしまう原因は?

403 Error Forbidden って、エラーコードの403番って事で「指定されたページへのアクセスは禁止されてる」と言う意味って事が解りましたねっ。どんな場面でアクセスを禁止されるのかを少し例を挙げて上げていきますねっ。

  1. 新規ドメインを取った直後『DNS:ドメイン ネーム システム』が浸透、反映するまでの間、一時的にアクセス禁止される
  2. ブログ運営者がIPアドレスや国など指定し、閲覧拒否をしているとき
  3. 悪意ある攻撃を受けた時に、セキュリティー(WAF)が反応して攻撃を抑止する為にアクセスを禁止した場合
  4. WAFの誤操作で403ページが出てしまった時

運営者から見れば、外部からの悪意ある攻撃を受けた時「アクセス権がありません!」っとセキュリティーが『サーバーに置いてるデータ』を悪者からの攻撃から守ってくれた結果です。

でも運営者のhttpからはじまるURLに対してもWAFは有効だから、http経由のアクセス、更新で閲覧禁止になるときもあります。

WAFを入れてるロリポップ!ヘテムル、さくらなどで運営してるブログの更新ボタンを押したときにWAFが攻撃と勘違いで403ページが出ます。他のエラーコードはHTTPステータスコードをご参照ください♪

直し方、元に戻す方法は403エラーページの原因と解決方法!をどうぞ。

まとめ

WAFは、半年に1~2度位に誤認をするかも知れません。誤認をへらすため、SiteGuard WP Pluginの設定からWAFチューニングサポートで誤認を減らすことも可能です。

悪意あるプログラムや、データベースに潜り込まれたら復旧させるスキルや労力、云々の事も考えると、設定しておきたいです。

これでザックリWAFと、403ページのエラーの意味もご理解いただけてたかなと思います。

ただし、不正アクセスは日々どこかで行なわれてるのが現状です。初心者が初心者さんに向けてブログを書いてるだけのページにもです。WAFはセキュリティとしてブログを守ってくれてるので有効にしておきましょう♪

それでは、かうたっくでした!

書いた人:かうたっく

何も知らない初心者ですが、WordPressでブログを始めました。 ブログの技術系でつまずいたエラーを経験したことからエラー関連を、初心者が初心者に向けて分かりやすい言葉で書いてます★子どもの喘息様気管支炎や、幼い子どもとの生活ページなどよく読まれる雑多ブログを運営中^^♪ご意見、感想、質問はお問い合せよりお待ちしています。

Twitterフォロー