エックスサーバーの WAF (Web Application Firewall) 機能について書きます。
1. WAF機能(エックスサーバー)の良いところ
- ドメイン毎に設定できる。

- 6種類の項目毎に設定できる。
- XSS (クロスサイトスクリプティング)
- SQL (SQLインジェクション)
- ファイル (ファイル不正アクセス)
- メール (メールの不正送信)
- コマンド (コマンドアクセス/実行)
- PHP (PHP関数の脆弱性)

2. WAF機能(エックスサーバー)の残念なところ
- どんな文字列が引っ掛かるかテストしようにも、WAF がいつ反映されるか正確には分からないので、テストしづらい(マニュアルに「WAF設定の追加・変更後、反映まで最大1時間程度かかる場合がある」と記載されている)。
- せめて、反映されたらそれが分かるようにして欲しい。
- 遮断が発生した時のログが見れない。
- 遮断が発生した時に、WAFのどの項目によってそれが起きたのかが分からない。
- 「どの項目が原因か分からない」且つ「もう遮断して欲しくない」となると、すべての項目を OFF にすることが手っ取り早い解決方法となり(1つ1つテストするのが大変)、WAFの設定項目が分けられている意味がなくなってしまう。