ラボラジアン WordPress には、SQL Injection や Cross Site Scripting (XSS) などの脆弱性を突こうとするHTTPリクエストを検知してブロックするプラグインがいくつか存在しています。プラグインの説明では、この機能のことを「ファイアウォール」と記載されていたりもしますが、「Web Application Firewall (WAF)」といった方が正確でしょう。
とてもありがたい機能ですが、誤検知 (false positive) の可能性が常について回るのがやっかいです。新しいプラグインを追加したときなどは特に要注意で、「正常なHTTPリクエストが間違ってブロックされてしまう」ことを常に意識していなければなりません。特定のプラグインが実際にどの処理にまで影響しているかを 100%把握することは難しいでしょうから、結局 WordPress における全ての操作に対して注意を向けることになります。稼働中のサイトでいきなり試すのはこわいので、慎重を期すのであれば、テスト用のサイトを用意して実験しておくことも必要になります。そして、実際に誤検知が発生したら、どの検知のルールをどう変更するのか? どんな例外設定を追加するのか?等を判断することになります。これもちゃんと対応しようと思うと、そう簡単ではありません。
誤検知が発生していないか、日頃から気を配る生活をしつつ、新たなプラグイン等を導入する際には上記の作業が必要となるのです。
もちろん、これは WordPress のプラグインに限らない、WAF 一般に関する話ではあります。ですが、WAF専用機器を用いた場合や、WAF専用ソフトウェアを用いた場合は、専門家やそれに近い人物がサポートにあたるでしょうから心配はいらないのに対して、WordPress のプラグインの場合は、おそらく普通のユーザーがこの作業を行うことになるのではないでしょうか? もしそうであれば、そのサイトに問題が起きた場合のリスクの大きさに応じて、専門家に任せるなり、この手のプラグインは使わない(WordPress のプラグインではなく、サーバー側で提供されるサービスを利用する等もあり)なりを決断する必要があります。
