弊ブログが利用しているレンタルサーバー「エックスサーバー」から、
「[XSERVER インフォメーション] Webサイトのセキュリティを強化する「WAF設定」機能提供開始のお知らせ」
という連絡が来ました。
Webサイト上で動作するプログラムの脆弱性への攻撃に対抗する、WAFという機能が使えるようになったよ、ということらしいです。
ブログが利用しているWordPressは、それ自体がプログラム。関係大アリな話なので、早速設定を確認、試してみました。
WAF設定とは?
WAF機能の確認の前にWAFについて簡単に。
WAFとは「ウェブ・アプリケーション・ファイアウォール」の略。ファイアウォールというのは「防火壁」の意。
WAFを設定すると、攻撃に対する壁になってくれる、という認識になります。ブログその他、レンタルサーバーで稼働しているプログラムに対して、よりセキュリティが高まります。
対象サービスは
- エックスサーバーの全プラン(スタンダード・プレミアム・ビジネス)
- エックスサーバービジネス全プラン
エックスサーバーの法人向けサービス「エックスサーバービジネス」でも、WAFが利用できます。
なおエックスサーバーにおいては、サーバー番号(sv0000のような)によって提供時期が異なりますので、利用可能かどうかはエックスサーバーのインフォメーションをご確認ください。
WAFでできること
WAF設定で操作できるのは、
- XSS対策
- SQL対策
- ファイル対策
- メール対策
- コマンド対策
- PHP対策
以上の6つ。これらについて、ON/OFFの切り替えができます。以下、各項目について簡単に説明を。引用はエックスサーバーのサーバーパネルより。
XSS対策
javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。
XSSとは、「クロスサイトスクリプティング」の略。クッキーの値を不正取得してセッションハイジャックを行ったり、URL等を偽装してフィッシングサイトへの誘導を行ったりする攻撃です。
ターゲットは掲示板やブログシステムなど。というわけでWordPressはもろ攻撃対象です。
SQL対策
SQL構文に該当する文字列が挿入されたアクセスについて検知します。
WordPressはデータベース(DB)としてSQLを利用していますが、SQLの構文(DBを操作する命令)を悪用し、DBを不正に操作するのがSQLインジェクションです。
こちらもWordPressに関係大。その他、DBを利用したオリジナルプログラムを稼働させている場合も注意が必要。
ファイル対策
.htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。
サーバーの設定が記載されたファイル(httpd.conf)を書き換えたり、パスワード関連のファイルを操作して悪事を働く攻撃。
画像アップロード機能付き掲示板や、ファイル操作が行われるアプリケーションがターゲットです。httpd.confはもちろんですが、WordPressが主に関係するのは.htaccessです。
メール対策
to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。
メール送信フォームを悪用して、第三者へ大量のメール送信を行う、などの不正操作が考えられます。
WordPressでコメントやメールフォームを設置し、メール送信を行っている場合も、おそらく関係するのではないかと思われます。
コマンド対策
kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。
PHP・Perlなどコマンドを実行できるスクリプト言語を通して、サーバーに対するコマンドを不正実行したりします。
WordPressはPHP言語を使って作成・動作しているので、対策しておきたい項目です。
PHP対策
session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。
「コマンド対策」はPHP等を通してサーバーに関連する操作をする攻撃を防ぐものですが、PHP対策はPHPそのものに対する脆弱性に対抗するもの。
ターゲットはPHPを用いたアプリケーション全般ということで、WordPressが真っ先に気をつけたい項目です。
WAF設定時の動作
というわけでWAFの各項目を確認してみました。WAF設定はWordPress専用のサービスではありませんが、WordPressでブログを運用している場合は、セキュリティ対策として大きく関わってきます。
それではWAFをONにして、攻撃が検知された場合、どのような挙動になるのか?
検出された場合には、アクセスが拒否されエラーページが表示されます。
その場合はエックスサーバー側で、上記のような対応をする、とのことです。
なおWAF設定は、不正アクセスの駆除を100%保証するものではなく、あくまでも最低限の予防策となるものである、という説明もありますので、理解した上での利用が求められます。
設定をONにする
それでは実際に、エックスサーバーのサーバーパネルから、WAF設定をONにしてみます。
サーバーパネルにログインし、新しくできた「セキュリティ」項目から、「WAF設定」をクリック。
ドメイン選択画面から、設定をしたいドメインを選びます。設定はドメインごとに行うようで、サブドメインごとの設定はできないようです。
WAF設定から、ONにしたい設定を選びます。WAF設定の追加・変更後、反映まで半日程度かかる場合があるそうです。
特に項目を選択する理由はないので、全部ONにしておきました。
まとめ
以上、エックスサーバーで新しく導入された「WAF」設定を有効にしてみた、というお話でした。
エックスサーバーではWordPressのセキュリティ設定について、他にも「WordPressセキュリティ設定」を導入しています。
WordPressセキュリティ設定では
- 国外IPアクセス制限設定
- ログイン試行回数制限設定
- コメント・トラックバック制限設定
などが行えるので、必要に応じて設定の確認・変更をオススメします。
本ブログはレンタルサーバー「エックスサーバー」にて稼働中です。
公式サイト:エックスサーバー
コメント