Blog

ブログ

ロリポップでWAFを有効にすると、Movable Typeが保存できなくなる

タイトルの通りなのですが。

レンタルサーバーのロリポップは「WAF(ウェブアプリケーションファイアウォール)」を標準実装しています。

これは、外部から不正なリクエストを、サーバー内のアプリケーション(CMSなど)に達する前にブロックするというものですが、有効にしてみたところ、Movable Typeの記事の「保存」と「プレビュー」で403エラーが返るようになりました。

クライアントさんから「WAF機能を使ってもよいか」と問い合わせがあったのはつい先日でしたが、実装されたのは昨年の秋頃からだそうです。
コンテンツの表示や、管理画面の移動は問題なくできるので、更新するまで気付きませんでした。

Movable Typeコミュでもこの問題は既出でした。

Movable Typeだけでなく、WordPressでも403エラーが起こるようです。

現象が起きた状況からすると、サーバー内のファイルの書き替えにつながる処理を行うとエラーとして検知されてしまうようです。

Movable Typeなら使うことができるかも

このWAF機能ですが、ドメイン単位での有効・無効が可能です。

なので、ロリポップに結びつけているexample.comドメインでは有効だけれど、ロリポップの契約時にもらったサブドメインでは無効、という設定ができます。

MovableTypeはファイルの実体を書き出せるうえに、公開ページのURLを管理画面とは違うドメインにできます。
私自身がロリポのテスト環境を持っていないので未検証ですが、管理画面には契約時のサブドメインでアクセスするようにすれば、WAF機能との共存はできるのかもしれません。

いずれにしても、現状ではMTやWPを設置していると、ロリポップでWAFを利用することは難しく、本来はサイト改ざんを目的とした一斉攻撃を防ぐ目的で実装されたはずなのに、ちょっと残念な話です。