WAF(Web Application Firewall)ってなんだろう?
https://cybersecurity-jp.com/column/94258
色々な記事があるので一概にはいえないですが、総じてサイトのセキュリティを高めてくれるものだから是非導入しましょうという結論になっているとおもいますが、経験上WAFがオンになっていて問題なく運営できたことは一度もありません。
運営だけでなく、構築段階でも、何かのエラーが出たり、普通に出来ることが出来なかったりで、私のような立場では邪魔、不要な存在でしかありません。
プラグインのインストールや、投稿の更新、各種カスタマイズでもWAFの影響で上手く動作しないことが多いですが、それでも
「WAFがオンだとWordPress全く使えない」
「WAFは弊害でしかない」
と言い切っている人はいない。セキュリティ上大事だから是非導入しようという結論の方が多いみたいです。
しかし同時にトラブルの原因がWAFだったという記事も多いはずです。
個人的にはこれがONになっているとほぼ作業出来ない、必ず何かのエラーを起こすので、完全無視のオフにしていますが、世間、大衆、多数決には敵わず、最近はWAFがオンのままでの作業依頼や、初期設定からWAFがオンになっていたり、それでいて、サーバーのコントロールパネルには本人認証が導入されていて、製作者などの第三者は入れないようになっていたりで、製作代行としてはやりにくいったらありゃしないです。
自分のような立場は淘汰、排除されていく運命なのかと感じるほどです。
他者のサイトの制作代行というのは段々と厳しくなっています。
「WAFはオフにしよう」
どうしてもセキュリティ上オンにしたいのであれば、構築が終わり完全に自分の手に渡った段階でオンにしてください。
運営していく中で何も障害がなければ、WAFはオンのまま運営してください。
WAFは複数の項目があります。
構築段階ではすべてオフ
構築後にWAFを全部オンにしても問題ないか
どのWAFをオンにすると支障があるか
などを検証しながら、サイト運営に問題のない部分のみオンにする
というのがベストな使い方です。
追記
格安レンタルサーバーとして結局はXサーバーやそれに準ずるシンサーバーが一番いい、シェアがあるとおもいますが、ここは標準ではWAFはオフになっている。
つまりWAFが効いていると様々なトラブルや相談が増えるからオフになっているのだ。WAFを使うのは自己責任ですよという意味と捉える。
ロリポップ(個人的は非推奨)はWAFが最初からオンになっている気がします。ここで制作を依頼される時は警戒します。
