WordPress

WordPress プラグインのファイアウォール機能について

投稿日:2022年10月5日 更新日:

WordPress には、SQL Injection や Cross Site Scripting (XSS) などの脆弱性を突こうとするHTTPリクエストを検知してブロックするプラグインがいくつか存在しています。プラグインの説明では、この機能のことを「ファイアウォール」と記載されていたりもしますが、「Web Application Firewall (WAF)」といった方が正確でしょう。

とてもありがたい機能ですが、誤検知 (false positive) の可能性が常について回るのがやっかいです。新しいプラグインを追加したときなどは特に要注意で、「正常なHTTPリクエストが間違ってブロックされてしまう」ことを常に意識していなければなりません。特定のプラグインが実際にどの処理にまで影響しているかを 100%把握することは難しいでしょうから、結局 WordPress における全ての操作に対して注意を向けることになります。稼働中のサイトでいきなり試すのはこわいので、慎重を期すのであれば、テスト用のサイトを用意して実験しておくことも必要になります。そして、実際に誤検知が発生したら、どの検知のルールをどう変更するのか? どんな例外設定を追加するのか?等を判断することになります。これもちゃんと対応しようと思うと、そう簡単ではありません。

誤検知が発生していないか、日頃から気を配る生活をしつつ、新たなプラグイン等を導入する際には上記の作業が必要となるのです。

もちろん、これは WordPress のプラグインに限らない、WAF 一般に関する話ではあります。ですが、WAF専用機器を用いた場合や、WAF専用ソフトウェアを用いた場合は、専門家やそれに近い人物がサポートにあたるでしょうから心配はいらないのに対して、WordPress のプラグインの場合は、おそらく普通のユーザーがこの作業を行うことになるのではないでしょうか? もしそうであれば、そのサイトに問題が起きた場合のリスクの大きさに応じて、専門家に任せるなり、この手のプラグインは使わない(WordPress のプラグインではなく、サーバー側で提供されるサービスを利用する等もあり)なりを決断する必要があります。

スポンサードリンク

📂-WordPress

執筆者:labo


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

WordPressで作られたサイトの利用テーマを調査する

ブラウザでサイトを見ていて、「これは WordPressを使っているのか?」「WordPressを使っているとしてら、何のテーマを使っているのか?」を調査する方法です。 ※ 100%分かるわけではあり …

WordPress

All in One SEO Pack を使っている場合に、Search Console で noindex のエラーが発生する

All in One SEO Pack を使っている場合に、Search Console で noindex のエラーが発生した場合の対応方法について書きました。

WordPress

【WordPress】特定の画像には Easy FancyBox を適用させない方法

目次1. WordPress の Easy FancyBox プラグインについて問題点2. 特定の画像リンクで、Easy FancyBox を適用させない方法3. デモ 1. WordPress の …

WordPress

WordPressの記事ページ上で、投稿ID/ページIDを取得するブックマークレット

WordPressの記事ページ上で、記事IDを取得するブックマークレットを作りました。

WordPress

WordPress: @wordpress/env と @wordpress/scripts を使ってカスタムブロック開発環境をセットアップする

@wordpress/env と @wordpress/scripts を使ってカスタムブロック開発環境をセットアップする手順を紹介します。