WordPresで投稿画面やphpなど更新しただけなのに、指定されたページへのアクセスは禁止されています。と403 ERROR Forbiddenが出てしまった。。WAFの誤認だってわかったけど、何でエラーになったか簡単に詳しく知りたいですよね。
詳しい人なら当たり前だろうけど難しいから極力簡単にザックリ、誰でもなるほどぉってなるように、セキュリティーWAFの事、悪意ある攻撃もほんのり入れながら書いていきますねっ。
WAFの誤認によるエラー解決がまだなら数分で済むので下記で解決してください。
LINK403エラーの原因はWAF!対処し解決する方法!:ロリポップ、さくら、ヘテムルのサーバー
セキュリティー、WAFとは?簡単に理解しよう!
【WAF】と書いて『わふ』っと読みます。『ウェブ アプリケーション ファイアウォール』の頭文字をとったものです。その『ワフ』はレンタルサーバーが扱っているWebアプリのファイアーウォールって事です。
- WAFとは
- 外部から『ブログの閲覧禁止ファイル』に不正侵入を禁止して外部攻撃から守るセキュリティ。不正アクセスを見つけたら、攻撃をブロックするために403 Forbidden(アクセス権がないから閲覧禁止!)を出しアクセスを遮断。
不正アクセスでブログの基盤であるデータベース情報などへの機密データを盗もうとしたり、ページ内容を改ざんしようとするのを防いでくれるもの。
WAFは最新の攻撃パターンを自動で更新してるから『WAF機能をON』にしてる場合でURLがHTTP経由(httpsは対応してない)のみ不正侵入を遮断する。
遮断したアクセスは、WAF設定の『ログ参照』のシグネチャ(WAFが遮断した攻撃のルール)で見ることができる。
WAFが検知したシグネチャ悪意ある攻撃ルール『traversal-1』
参考WAF(ウェブアプリケーションファイアウォール)|さくら
参考WAF(ウェブアプリケーションファイアウォール)|ヘテムル
参考WAF ウェブアプリケーションファイアウォール|ロリポップ
WAFの誤認とは
WAFは、外部からの不正侵入を阻止します。でも運営者が投稿画面から更新ボタンをクリックしただけで、不正侵入と誤認することがあるんです。運営者が「閲覧禁止」になって、ページに入れません。
WAFを擬人化し初心者向けストーリーとして、WAFに誤認を説明してもらいましょう♪まずは登場人物から紹介します。
- 正義のWAF
- 悪の末裔A、B
- 説明ぼうや
- 運営者として『かうたっく』
外部からWeb上で攻撃を受けた時に、ブログのデータファイル守るのが僕の役目だよっ。
って事で、ストーリー仕立てにすると分かりやすいので、見てみましょう♪
情報漏えい防止編
@ViralClubさんのクロスサイトスクリプティングの仕組み・脅威から対策ページのとおり『javascript』『HTMLタグ』などをゴニョっとされるとブログのログイン パスワードを不正ログインされたり、入力フォーム個人情報を取られたりします。
こんな事をされては困るのでWAFは戦うんです。
う~っしっし~、『おかしなプログラム』を埋め込んでやるぅ~!
なんだっ、『おかしなプログラム』を送り込もうとしてるなっ!!『情報漏えい』させてたまるかぁ!
そこでWAF、ファイアーウォールは取って置きの技を繰り出すのであります!
403 Error Forbidden!ページへのアクセスは禁止!!
はっ!ココはもう入れないじゃないっ。。ブロックされたぜっ、まっ、違うヤツ狙ってやる、バイバイ!
私のブログは、悪の末裔に403ページを出してる状態となります。
知らないうちに、助かってた!WAFのログ参照を見て、やっと気付いた!
ありがとう、WAF^^
運営者は、何のことだか解らないまま、情報漏えいの危機から救われたのであったっ!やるねぇ、WAF!
乗っ取り改ざんの防止編
ふっ!データベースに潜り込んでやるっ!
なんだっ、悪さしてるなっ!データベースに潜り込もうとしてるのかぁ!「乗っ取りや改ざん」させてたまるかぁ!
SQLインジェクションサーバの乗っ取りはさせないよぉって頑張ってるなぁ!さぁ、よろしくWAF!
がってん、任せろっ「403 Error Forbidden」ページへのアクセスは禁止!
WAFは403ページを出して、乗っ取りから救ったのであーるっ!良かったねっ、運営者かうたっく♪
悪の末裔Bから見た私のブログは403ページを出して閲覧禁止にしている!
えっ、そうなの!?知らない間に助けてくれたのね!ありがとうWAF
WAFの勘違い編
よしっ、PHPの更新(画像ファイルをアップや管理画面の更新など)しよっと♪
なんだっ!どこかで誰かが悪さしてるなっ!PHPに潜り込もうとしてるのかぁ!!このやろぉ~!
ちょっ、ちょっと待ってぇ、、ウェブ アプリケーション ファイ・・・
皆までいうな(。-`∀・)b「403 Error Forbidden」ページへのアクセスは禁止!
あっちゃ~、はやとちりっ(/ε\*)
えぇぇぇぇっ、私、運営者だよぉ!やりよったなぁWAFくーん。
ちゃんちゃん┐(´∀`)┌
ざっと、こんな感じでWAFは動作してくれてます。そして、時たま?ハヤトチリもあるって事なんですよっ♪
403ページが出てしまう原因は?
403 Error Forbidden って、エラーコードの403番って事で「指定されたページへのアクセスは禁止されてる」と言う意味って事が解りましたねっ。どんな場面でアクセスを禁止されるのかを少し例を挙げて上げていきますねっ。
- 新規ドメインを取った直後『DNS:ドメイン ネーム システム』が浸透、反映するまでの間、一時的にアクセス禁止される
- ブログ運営者がIPアドレスや国など指定し、閲覧拒否をしているとき
- 悪意ある攻撃を受けた時に、セキュリティー(WAF)が反応して攻撃を抑止する為にアクセスを禁止した場合
- WAFの誤操作で403ページが出てしまった時
運営者から見れば、外部からの悪意ある攻撃を受けた時「アクセス権がありません!」っとセキュリティーが『サーバーに置いてるデータ』を悪者からの攻撃から守ってくれた結果です。
でも運営者のhttpからはじまるURLに対してもWAFは有効だから、http経由のアクセス、更新で閲覧禁止になるときもあります。
WAFを入れてるロリポップ!、ヘテムル、さくらなどで運営してるブログの更新ボタンを押したときにWAFが攻撃と勘違いで403ページが出ます。他のエラーコードはHTTPステータスコードをご参照ください。
WAFの誤認を繰り返さない設定と、WAFのセキュリティ面に対する効果は下記をどうぞ。
LINK403 Forbidden誤認対策、WAFチューニングサポートのルール追加!WordPressサイトガードの設定
まとめ
悪意あるプログラムや、データベースに潜り込まれたら復旧させるスキルや労力、云々の事も考えると、設定しておきたいです。
これでザックリWAFと、403ページのエラーの意味もご理解いただけてたかなと思います。
ただし、不正アクセスは日々どこかで行なわれてるのが現状です。初心者が初心者さんに向けてブログを書いてるだけのページにもです。WAFはセキュリティとしてブログを守ってくれてるので有効にしておきましょう♪
それでは、かうたっくでした!
Comments
この記事読んで、ロリポップのエラーが解決しました!!
とってもタメになりました。。感謝します^^
私も本日からspeech-bubble使い始めました。初心者ですが頑張ります♪
「エラーの解決になった」と嬉しいご報告に感謝です!
楽しんでブログ運営されて様子が伺えますねっ^^
ありがとうございますっ(^^♪
かうたっくより