ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ

(2013/08/29)追記 ロリポップ上のWordPressが不正アクセスされる事例が増えているようです（参考）。現時点で侵入経路等は明らかでありませんが、以下に説明する方法で、公開ページに対するSQLインジェクション攻撃や、管理コンソールに対する不正ログインに対しては、かなり効果があると考えられます。ユーザーの参考になれば幸いです。また、タイトルを変更しました。 追記終わり 今年の9月27日から、ロリポップのレンタルサーバーの全プランで、WAF(SiteGuard Lite)が標準装備されるようになりました。 WAF（ウェブアプリケーションファイアウォール）を導入いたしました ロリポップ！レンタルサーバーはWAF標準装備です。 http://lolipop.jp/waf/より引用 これは大変良いことですね。インターネット上のすべてのサイトが攻撃の対象ですし、被害も増えている印象がありま

[ryoma123]

WAF標準装備されてた

[sonesone]

WAF設定を無効にせずにwordpressを使うには

[katooonline]

“WordPress HTTPS”

[matsuiphone]

ｒ

[puchiban]

あやふやな知識だが、管理画面basic認証にすると、URL叩いてcron代わりにしているものが動かなかったような。(調べるのめんどい)

[lets_skeptic]

面倒な話かと思ったら、想像してたより簡単な設定を丁寧にやってくれてた。

[web_shufu]

ロリポップユーザーならこの機会にやるべきことかもしれません。たとえ今回のハッキング騒ぎと関係なくても。

[elf]

これはとても丁寧だ

[cosmetick]

帰ったらみる

[nochiu74]

大変参考になります！

[mi1kman]

なんだかWindowsのUAC無効化を思い出すわ...＞「ロリポップ!でWordPressを導入すると403エラーになるので、その場合はWAFを停止するといいよ」

[sechiro]

去年のネタ再発掘。"コンテンツはなんでも良かったのですが、「千葉県浦安市が東京都浦安区になった」という想定の偽サイトをでっちあげてみました。"

[moondoldo]

ロリポップ WordPress WAF 防御 設定

[deep_one]

（本題に関係ない）こっちも地名ネタだ（笑）徳丸さんは基本的に地名ネタが好きなのか？

[ykfksm]

ちゃんと知識のある方が書いているWAF設定方法（でも結果、一部でWAF外す、っていうね・・・）です。ロリポユーザーでWordPressな方、どうぞ。

[localnavi]

ありがたや。MTOSでもロリポWAFが盛大に誤検知してくれてサイト更新ができないという本末転倒ぶりなのよな。この手で解消するか。

[tyage]

ｶｷｰﾝ!

[stealthinu]

ロリポのWAFで誤検知する話と管理用の部分はBASIC認証で２要素認証にする例。しかし管理画面こそWAFで守りたいのになあ。こんなもんかあ。

[fukupage]

このノウハウは覚えておきたい

[ockeghem]

タイトル変更しました。2012年末の記事ですが、内容は今でも有効かと思います。