エックスサーバーからのお知らせで，今日からWAF機能の提供開始がありました。
WAFといえばロリポップでのトラブルの元になっていた機能です。
それを見てきて，HAIKとWAFは相性が悪いものと考えてきました。
エックスサーバーユーザーの皆さんはどうしますか。
マニュアルを読むと機能別にON・OFFができるようなので，HAIKに影響のない設定があれば使っても良いかもしれません。

各設定項目
・XSS　(クロスサイトスクリプティング)
・SQL　(SQLインジェクション)
・ファイル　(ファイル不正アクセス)
・メール　(メールの不正送信)
・コマンド　(コマンドアクセス／実行)
・PHP　(PHP関数の脆弱性)

　どの機能をONにしてもHAIKに影響がないかは研究の必要がありそうです。

WAFの運用の仕方、使っているソフトはサーバー会社で様々ですね。

Xserverではログが取れない代わりにそこそこ細かいセッティングあり。

さくらサーバーではログが取れる代わりにロリポップ式にWAF一律でON/OFF
（ログが取れるといってもそこそこ大雑把）

私もエックスサーバーのサポートにWAFのエラーログの件を質問しました。
回答では
「WAFのエラーログにつきましては、お客様よりの貴重なご意見といたしまして、担当部署へ申し伝え、改善を検討してまいります。」

ということです。「他社ではできるのになぜエックスサーバーではできないのか」と質問した返事です。

今回WAFの403エラー回避の記事をいろいろ見ていて，「HAIKではWAFはOFF」という，現在の一律の対策でいいんだろうか？と考え直しました。
　エックスサーバーでは残念ながらWAFのエラーログが無いですが，他のサーバーではありますよね。この情報を使えばhtaccessで回避する方法がいくつか紹介されています。
　WAFは積極的に使った方が安全ですから，エラーを回避しつつ使いたいですね。
　
　さて，私の場合，エラーが出るのは特定ページの特定の操作だけなので，WAFはそのまま使用した方がメリットが大きいと考えています。
該当ページの更新時だけOFFにして対処することにします。

特定ページだけの現象ということから推測すると，
「入力内容に特定のHTMLタグコードが含まれると「確認画面へ」ボタンを押した時に403（Forbidden）のエラーが出る」
という事例に該当するのかもしれません。どの文字列が問題かは，エラー情報が無いのでわかりませんが。

Xserver において　WAFがなんらかの不正アクセスを検知したとき、エラーログの有無に
ついて問い合わせた結果。以下の通り。以下添付=======

お問い合わせの件につきましては、不正アクセスが検出された場合には
アクセスが拒否され、エラーページが表示されます。

しかし、エラーログには記載されません。

以上添付====

予想通りとはいえ、解決への手がかりがひとつ消えました。

うみほしさん

WAFは後から導入されたため、一般的なエラーログには出力されない可能性ありで、
そこを確認したくXserverに質問をしておきました。

なお、さくらサーバーではWAFが処理をするとエラーログ取れるんですよ。

エックスサーバーのエラーログをダウンロードしても，中身は何も書かれていないテキストファイルでした。
これはエラーが無いのか，記録されないのか，ダウンロードがうまくいかないのか？解釈に悩みます。
サポートに質問するしかなさそうです。

XserverにWAFエラーログ（というか処理記録？）の「取れる/取れない」をメールで質問しておきました。
回答があったら掲載します。

さきほどエックスサーバーのエラーログを見たのですが，残念ながら何も記録されていませんでした。
WAFのエラーは対象外なのかな？
こうなると原因特定は難しいです。
これ以上は分からないので，会員サイトから不具合報告をしておきました。

>件の403エラー表示は編集のセーブとプレビュー時だけなんですよね。

そうです。編集の書き込みはできますが，プレビューと更新で403になります。
ページが膨大なので，全部はチェックしきれませんが，閲覧でエラーが出たページは今のところ発見できません。

ネット検索でも，書き込み時にエラーが出る事例ばかりですね。
特にHAIKだからそうなるということも無さそうで，WordPressユーザーでも見られます。というか世の中のユーザーは圧倒的にWordPressですから，エラー報告も多いわけですけど。

うみほしさん

件の403エラー表示は編集のセーブとプレビュー時だけなんですよね。
一般閲覧は問題なしと。私がアクセスする限りにおいてはエラーは出ないですもんね。

今のところエラーはこの1ページしか発生していないので，WAFはONのまま運用しています。
コメントの記入やブログの更新は問題ないです。
これでセキュリティを下げるのももったいない気がします。
エラーが出たのはそんなに更新しないページなので，どうしても必要な場合だけVAFを切ることにします。

Yujiroさん

エックスサーバーのエラーログは3時にリセットされた後の結果しか見られないので，さっき見たら空白でした。今日の分はあす3時以降に見れるのではと期待しています。
　エラーログからWAFの403エラーをhtaccessで回避する方法もネットで見つけましたが，とりあえずこれを試してみるしかないかな。

https://10prs.com/view/2

です。シグナチャがまだ分からないので，試しに私の自宅のIPアドレスの回避を書いてみましたが，効果無しでした。エックスサーバーではこの記述は無効なのかもしれません。

うみほしさん

とりあえずXサーバーからエラーログが取れると思うのですがどうでしょう。

まあ、PHP　(PHP関数の脆弱性) あたりの記述があるだけで参考にならないかもしれませんが。

しかしこの状況では商用サイトならテストもできないですね。

WAFをONにして以来，初めてエラーに遭遇しました。

私のサイトのある1ページ（「カンガルーの研究」の表紙）だけでエラーが出て，編集結果のプレビューと更新ができません。

エラー内容は，


「403
Forbidden
アクセスしようとしたページは表示できませんでした。
このエラーは、表示するページへのアクセス許可がなかったことを意味します。」

このページ以外は，今までの編集ではエラーは出ていません。
なぜこのページだけ変更がブロックされるのかは，全く分かりません。
同じ構造の他のページ（「PENTAX」のページ）は何ともないのに。
全く謎です。

WAF設定（すべてON）から1日以上過ぎたので，機能テストです。

・閲覧は問題なし。
ブログの更新，問い合わフォーム　とも正常動作でした。

・その後，画像の更新，7.3.0へのアップデート，ブログコメントの書き込みも正常でした。

エックスサーバーでのWAF運用はこのまま継続で良さそうです。

私が使っているXserver、さくらでは今のところトラブルはありませんが、
何がどう引っかかってくるか不明なところもあり、そこそこの時間を使って
検証する必要ありげです。

（追記：さくらサーバーでトラブル出ます。別スレッドで報告）

実は、ロリプップのお試しユーザーをしてみたこともあるのですが、
そのとき特にWAFで異常が出たこともなし。

しかし現実に多数の報告もありでQHM時代には当然のようにWAFをオフで対処とあるのも事実。

ちなみに、ロリポップはサーバー上の設定変更など実質的に反映するのに時間がか
かることがあり、検証しにくいところあり。

とりあえず、WAFに絡んだトラブルはここで逐一報告させていただきます。

そうするとロリポップのWAFが特殊なのでしょうか？

そういえばさくらサーバーでもWAF使えますが、こちらのトラブルは聞いたことがないですね。

中でこの話をしたら会員の方が試してくれて，すべてONにして1日待ち，
更新や，メールフォーム送信など通常の操作は問題なかったということなので，
私もすべてONにしてテストしています。
ロリポップのようなエラーは出ていない模様。

ロリポップでWAFがオンでエラーが出た場合、ログに残っているはずですよね。

このログがあれば解明が進むと思うのですが。

使ったほうが良いのはわかりますが、そもそもロリポップのときは、WAFのどの機能がHAIKにエラーを起こしてしたのでしょうか？

確かにロリポップのWAFと相性が悪いというか、使用にコツがありますね。

がしかし、そもそもがHAIKだけにWAFが必須かも。

ちょっと前にQHM系の大量サイト改ざんが起こりましたが、あれにならないためにも。
（収入直結のビジネス系の人は否応無しに使うべしと）

それから、人によってはサーバーで使っているWEBアプリがHAIKだけとは限らずで。