2020/05/26 20:50
[Wordpress].htaccessファイルで「https」へ自動リダイレクト、さらにLOLIPOPの「WAF」設定も解説
常時SSL化という事で「http」から「https」へ。
自動でリダイレクトさせる方法として「.htaccess」ファイルをいじるやり方を紹介します。
さらについでにLOLIPOPでの「WAF」について、これも「.htaccess」への記述が必要ですので解説します。
「http」から「https」へのリダイレクト
①独自SSL証明書の取得
LOLIPOPサーバーの例で言うと「独自SSL証明書導入」という項目がありますので、まずは設定しておきましょう。
無料でできます。PRO版もあります。
必ずこれを先にやっておかないと、リダイレクトで飛ばしてもページが存在しない状態となりますので注意しましょう。
②「.htaccess」ファイルを作成
WordPressフォルダ内の「wp-content」がある階層に「.htaccess」ファイルを作りましょう。
元々ある場合はそれを使いましょう。
※ファイルがうまく作れない場合
保存した時に「.htaccess.txt」になってしまう場合があります。
その場合はメモ帳で保存する際に、ファイル名を「".htaccess"」と、ダブルクォーテーション付きファイル名で保存するとうまく行ったりします。
③「.htaccess」ファイルを開いて記述
ではファイルへと記述します。
元々書かれている記述がある場合はバックアップしておくことをオススメします。
リダイレクト方法記述例
【.htaccess】
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
</IfModule>
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
これでサーバーにアップすれば完成です。
httpに飛んでも自動でリダイレクトがかかりhttpsが開きます。
リダイレクトのみの記述方法の場合は上記で大丈夫です。
では次にLOLIPOPのWAF設定についてです。
「WAF」設定
LOLIPOPのセキュリティで「WAF設定」というものがあります。
WAF(ウェブアプリケーションファイアウォール)は、ウェブサイトに対するクロスサイトスクリプティングやSQLインジェクションなどの攻撃を自動的にブロックします。
これまでのファイアウォールやIDS(侵入検知)、IPS(侵入防止)で防御できなかったウェブサイトへの攻撃を検知できることでより安全なサイト運営が実現されます。
攻撃パターンの定義ファイルは自動でアップデートされるので、操作を行っていただかなくても、最新の攻撃パターンをブロックすることが可能です。
たまに記事の投稿をしてると、公開したいだけなのに記事公開ボタンを押した瞬間にエラーになったりする事があります。
これは記事の内容等が何かしらのエラー対策に引っ掛かってる可能性があります。
その場合はLOLIPOPの管理画面内「WAF設定」でエラーが検知されていないかを見てみましょう。
もし、どうしてもその内容で公開したいのにエラーが出ていて困る場合は「解除」できますので、「.htaccess」ファイルへの記述例を参考にしてみてください。
※先程のリダイレクトの追記としての例として書いてます
【.htaccess】
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
SiteGuard_User_ExcludeSig sqlinj-19,sqlinj-20
</IfModule>
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
SiteGuard_User_ExcludeSig…という部分ですね。
ここにカンマ区切りで書いていく事で解除ができます。
どんどん追記して行く事が可能ですが、書けば書くほど脆弱になるという事なのでお気をつけください。
では現場から以上です!
1254