WAF(Webアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することが可能です。
不正アクセスからサイトを保護し、WordPressなどのWebアプリケーションの安全性を簡単な設定で向上することができます。

検知時の動作について
検知された場合には、アクセスが拒否されエラーページが表示されます。

1,XSS対策 javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。
  【対策例】
    クッキーの値を不正に取得、設定しセッションハイジャックを行う
    CSRF(クロスサイトリクエストフォージェリ)の踏み台とする
    URL等を偽装し利用者をフィッシングサイトへ誘導する
  【対策ターゲット】
    掲示板
    ブログシステム
    他、第三者が入力した情報を表示するアプリケーション全般

2,SQL対策 SQL構文に該当する文字列が挿入されたアクセスについて検知します。
  【対策例】
    SQL構文を利用した不正な文字列を付加し意図しないSQL文を発行する
    データベース情報の漏洩を試みる
    データベースの情報の書き換えや破壊を試みる
  【対策ターゲット】
    データベース登録を行う会員制サイト
    データベースを利用したアプリケーション全般
    ※利用者の入力した内容からSQL文を生成するアプリケーションが不正アクセスの対象となります。

3,ファイル対策 ・htpasswd .エイチティーアクセス エイチティティピーデーィ.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。
  【対策例】
    パスワードの記述されたファイルを上書きし認証の掛かったページに不正アクセスを行う
    サーバーの設定ファイルを書き換えることで挙動の乗っ取りが行われる
  【対策ターゲット】
    画像アップロード機能付き掲示板
    ファイル操作が行われるアプリケーション

4,メール対策 to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。
  【対策例】
    メールが送信されるフォームを利用した第三者への大量メール送信が行われる
  【対策ターゲット】
    メールを送信する機能を備えたアプリケーション

5,コマンド対策 kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。
  【対策例】
    コマンドを実行できるスクリプト言語(PHP,Perl等)を通してコマンドを不正実行させる
    サーバーに関する重要な情報の盗み見や、踏み台として利用する
  【対策ターゲット】
    PHPやPerl等で作成されコマンド実行を利用するアプリケーション

6,PHP対策 session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。
  【対策例】
    セッションを書き換え、会員ページへのアクセスや管理者権限の乗っ取り
    不正ファイルのアップロードを踏み台にサーバーの乗っ取り
  【対策ターゲット】
    PHPを用いたアプリケーション全般

引用:XサーバーWAF設定より

 

ひとこと:
WAFは必ず設定することをオススメします、しかしながら100%防止できるということではありませんが、
もしWAF設定しなければ、簡単に改ざんや乗っ取りなどを許すことになります。
プログラムを書き換えられるやバックドアを作られ改ざんを繰り返されるなど、されると復旧にかかる時間と費用はかなりのものになります。
今や日々、中国・ロシア・北朝鮮などからサイバー攻撃を受けております。
WAFでも防げないものもあるかと思います。
私も昔、UNIXなどのプログラミングをやっていたのでのわかりますが、悪意のあるものがハッキングやウイルスを埋め込むなどをやろうと思えば、かなりの確率でできると思います。
アメリカのペンタゴンなどのファイアウォールをやぶるハッカーもいると聞いております、大事なホームページやデータベースはしっかりと防犯しましょう。
ネット上でなくても生活の中でも防犯はしなくてはなりませんWAFを設定しないのは玄関に鍵をかけないようなものです。

■□■ ━━━━━━━━━━━━━━━━━━━━
有限会社ニッチエンジニアリング
福岡県福岡市博多区竹下1-15-40-305
TEL 092-211-0201 FAX 092-210-6668
会社hp https://www.niche-eng.com
「福岡市商工会」「春日市商工会」加入
「スマーワンページ」経営革新承認事業
━━━━━━━━━━━━━━━━━━━━ ■□■