lolipopでJetpackをWAF有効にしたまま使う方法

WAF有効で Jetpackを使う方法 (Lolipopサーバーの場合)のアイキャッチ wordpress
記事内に広告が含まれています。
・ロリポップサーバーでWAFを有効にするとJetpackの機能が使えなくて困った。
Jetpackを使うためにはWAF無効にしないといけないの?セキュリティが心配なんだけど…。

こんな悩みを解決します。

WordPressのJetpackプラグインは「WAF有効」のままでは使えないと思っていませんか?

実際、私も以前はJetpack使うために「WAF無効」にしていました。

でも、プラグイン「SiteGuard」に「WAF」の設定を柔軟に書き換える機能があることを知って、今ではレンタルサーバー側では「WAF有効」にしたままJetpackを使っています

ちなみに、これはプラグインで自動で行うだけでは無く、手動でも出来るので、あえてプラグインは使わないという人でも有効な方法です。

【この記事のまとめ】
SiteGuardの「WAFチューニングサポート」設定で可能。
または、手動で.htaccessの編集でも可能。

【この記事で書かれていること】

  • 「SiteGuard」プラグインの「WAFチューニングサポート」設定を使う方法
  • FTP接続から「.htaccess」を編集する方法
  • 補足:サイトのURLとWordPressをインストールしたアドレスが違う場合は、プラグインでは出来ないので手動で書き換える必要があること。
スポンサーリンク

JetpackとWordpress.comを連携すると便利です

Jetpackサイト追加画面

運営中のWordPressのブログで、Jetpackプラグインが使えるようになると、Wordpress.comのアカウントと連携して、複数の運営サイトの管理がしやすくなります

たとえば、同じWordpress.comの管理画面で、複数のサイトの記事投稿ができたり、複数のサイトのプラグインを更新したりできます。

Wordpress.comの管理画面

ところが、Lolipopなどのレンタルサーバーに付いている「WAF」機能が、Jetpackとの連携が不正アクセスと勘違いして遮断してしまうので、使えないと思っている人が多いと思います。

下書きの保存に失敗しましたの表示

新規記事を書いていても保存に失敗する・・・

プラグインの有効化に失敗しましたの表示

プラグインをリモートで操作したいけど、エラーが出る・・・

なので、セキュリティを取るか、便利さを取るかのトレードオフで、WAF自体を無効にしているのではないでしょうか?

簡単な設定でWAFを有効にしたままでJetpackとの連携を取る方法があるので、ぜひご紹介します。

この方法を知ってると、セキュリティと便利さの兼ね合いを取ることが出来ます。

方法1:SiteGuardの「WAFチューニングサポート」の設定方法

まず、JetpackとSiteGuardをインストールしておきます。

Jetpackのインストール方法はこちら。

SiteGuardのインストール方法はこちら。

2つのプラグインをインストールしたら、次の手順に移ります。

たぶん「(1)LolipopのWAF検知ログからシグネチャを参照する」は飛ばして、「(2)WAFチューニングサポートの設定」の項目からでも大丈夫だと思います。

(1)LolipopのWAF検知ログからシグネチャを参照する

1、lolipopの「ユーザー専用ページ」にログインして、「セキュリティ」の「WAF設定」を開きます。

今まで無効だった人はログが無いので、ここで有効にしてください。
有効にしたら「(2)WAFチューニングサポートの設定」まで進んでもOKです。

lolipopユーザー専用ページの「セキュリティ」の「WAF設定」画面


2、「ログ参照」をクリックして開きます。
Jetpackのアクセスを試した日のログを見ると、以下のような画面になっているはずです。

WAF検知ログの画面

この時、「bof-try-2」というのが検出されたシグネチャです。
この「bof-try-2」をコピーしておきます。

たぶん「bof-try-2」というのは誰でも同じと思うので、lolipopの管理画面を見なくてもいいと思いますが、ここにシグネチャがあるということを解説しておきました。

次にWordPressブログの管理画面にログインして下さい。

(2)WAFチューニングサポートの設定

1、WordPress管理画面の「SiteGuard」から「WAFチューニングサポート」を選択します。

WordPress管理画面の「SiteGuard」中の「WAFチューニングサポート」


2、「新しいルールを追加」を選択します。

WAFチューニングサポート 新しいルールを追加


3、シグネチャに、WAF検知ログにあった「bof-try-2」と入力します。
入力したら保存ボタンを押します。

ファイル名は空欄で構いません。
コメントは任意ですので、自分で分かるように「Jetpack連携のための設定」とかにしてもいいですね。

シグネチャにbof-try-2と入力した画面


4、スイッチ「ON」にして黒背景にして、「ルールを適用」ボタンで保存する。

WAFチューニングサポートをONにして保存する設定画面画像


5、以上で手順は終わりです。
これでJetpackからの通信が遮断されないようになります。

「方法2:.htaccessの編集方法」の章にあるように、このプラグインは「.htaccess」の追記をしています。
「.htaccess」の書き換えを間違うと、サイトが見られなくなってしまうので、プラグインで対応してくれるのは便利ですね。

ここまでやってもJetpack連携が出来なかった時

ここまで手順を進めても、やっぱりWordpress.comからアクセスできない。

もしも、WordPressの「一般設定」で、WordPressをインストールしたディレクトリとサイトのルートアドレス (URL)が違うサイトなら、SiteGuardの方法は使えません。

下の補足の章をご覧ください。

 

方法2:.htaccessの編集方法

方法1を実行した状態で、FTP接続でサイトの「.htaccess」を見ると、

#==== SITEGUARD_SG_WHITE_LIST_SETTINGS_START
<IfModule mod_siteguard.c>
        SiteGuard_User_ExcludeSig bof-try-2
</IfModule>
#==== SITEGUARD_SG_WHITE_LIST_SETTINGS_END

という項目が追加されています。

ということは、手動で追記できればプラグインを使わなくてもいいと思いませんか?

そうですね。
方法2は自分で「.htaccess」に以下のように追記する方法です。

<IfModule mod_siteguard.c>
        SiteGuard_User_ExcludeSig bof-try-2
</IfModule>

#のコメント行を付けると、知らないうちにプラグイン「SiteGuard」が上書きや削除してしまうので、コメント行は外しました。

「FTPって何?自分で出来る気がしないんだけど。」

って思ったら、方法1のプラグインが簡単なのでオススメです。

おすすめFTPソフトはこちら。

関連記事

無料テーマCocoonの設定保存がWAF無効にしないと403エラーが出る件。
いちいちWAF有効無効を切り替えるのは面倒。
「SiteGuard_User_ExcludeSig xss-tag-1」で解決。

の記事を執筆予定

補足:WordPressアドレスとサイトアドレスが違う場合

WordPress一般設定ページ画面

WordPressの「一般設定」にある「WordPress アドレス (URL)」(WordPressをインストールしたディレクトリ)と「サイトアドレス (URL)」(サイトのルートディレクトリ・URL)が違う場合は、SiteGuardプラグインの設定ではJetpack連携が使えません。

上記の画像でいうと、「https://~.jp/wp」と「https://~.jp」で、2項目のアドレスが違っています。

SiteGuardは、WordPressをインストールしたディレクトリ(フォルダ)にある「.htaccess」に追記しますが、Jetpackを使うためにはサイトルートディレクトリにある「.htaccess」のほうに設定を記述する必要があります。

サイトルートディレクトリとは、lolipopの独自ドメイン設定の「公開(アップロード)フォルダ」のことです。

lolipop独自ドメイン設定画面

なので、サイトルートディレクトリにある「.htaccess」のほうに、FTPソフトで方法2のコードを追記します。

<IfModule mod_siteguard.c>
        SiteGuard_User_ExcludeSig bof-try-2
</IfModule>

まとめ

SiteGuardプラグインの「WAFチューニングサポート」を設定することで、lolipopなどのレンタルサーバーのWAFを有効にしたままでJetpack連携が使えるようになります。

不要なプラグインを入れたくない人は「.htaccess」の追記でも同じ事ができます。

コメント

タイトルとURLをコピーしました