エックスサーバーのセキュリティ強化!WAFとは?
サーバーのセキュリティ対策には次の図のように様々ありますが、今回説明しますWAFは下記図の赤枠部分となります。
「WAF」とはWebアプリケーションファイアウォールの略で、Webアプリの脆弱性を突いた不正アクセス(例:SQLインジェクション、クロスサイトスクリプティングなど)からWebサイトを守るためのセキュリティ対策(技術)です。
参考
- SQLインジェクション:Webアプリケーションのセキュリティ上のバグを突いて、Webアプリケーションが想定しないSQL文を実行させることによりデータベースシステムを不正に操作する攻撃手法
- クロスサイトスクリプティング:ユーザーのアクセス時に表示内容が生成される「動的Webページ」のバグを突いて、悪意のあるスクリプト(プログラム)を送り込んで実行させる攻撃手法
昨今、WAFが防御対象とするWebアプリの脆弱性を突いた攻撃が激増しています。
少し前の記事になりますが、Webアプリの脆弱性を突いた攻撃件数は1日あたり(なんと)75万件とのことです。(攻撃種別に関しては、SQLインジェクションが56%、クロスサイトスクリプティングが19%、、、) 恐ろしいですねぇ。。。
【引用】1日75万件の攻撃を検出、「ロリポップ!レンタルサーバー」2018年第4四半期の脅威動向
エックスサーバーのWAF設定方法!
お待たせしました。それでは早速「WAF」を設定していきましょう!
まずはエックスサーバーのサーバーパネルにアクセスし、「サーバーID」と「サーバーパネルパスワード」を入力しログインします。(※サーバーIDやパスワードを忘れた場合は、契約時に届いたメールを確認してください。)
ログインできましたら、サーバーパネルトップ画面にある「セキュリティ」項目の「WAF設定」をクリックします。
そして、ドメイン選択画面にて、WAFを設定するドメインの「選択する」をクリックし、
WAF設定画面にて、対策したい項目をONにして「確認画面へ進む」ボタンを押下します。(6対策を全てONしておくことをお勧めします!)
ちなみに各々の対策内容は以下のようになっております。
設定項目 | 対策内容 |
XSS対策 | javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。(※冒頭に説明しました「クロスサイトスクリプティング」に対する対策となります。) |
SQL対策 | SQL構文に該当する文字列が挿入されたアクセスについて検知します。(※冒頭に説明しました「SQLインジェクション」に対する対策となります。) |
ファイル対策 | .htpasswd、.htaccess、.httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。 |
メール対策 | to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。 |
コマンド対策 | kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。 |
PHP対策 | session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。 |
ちなみに、WAF設定してからシステムに反映されるまでは最大1時間かかるようです。(私が設定した際はそこまで時間はかかりませんでした。)
WAF設定の効果を検証!
それでは試しに、XSS対策の有効性を実際に確かめてみたいと思います!
【参考サイト】WordPressのXSS脆弱性をVAddyで検出してみる
有効性の検証環境としては、次のような検証用Webページを準備しました。(既存のWordPressテーマのPHPファイルを少しだけカスタマイズしました。)
次の図が検証用Webページの実際の画面ですが、❶の検索窓に文字列を入力して検索ボタン(虫眼鏡マーク)を押すと、❷の位置に❶で入力した文字列をそのまま表示するようにしました。(❶に"HELLO"と入力したら❷に"HELLO"と表示されます。)
それでは検証を始めます!
XSS対策の有効性を確認するため、文字列ではなくスクリプトプログラム(<script>alert("test");</script>)を入力してみたいと思います。
まずはWAF設定(XSS設定)をOFFした場合です。
下記のようにスクリプトプログラムが実行されてしまいました。今回の検証では文字列をポップアップ表示するだけのプログラムですが、Webサイトの内容を勝手に書き換えたり、サーバーをダウンさせたりするプログラムも作ることも簡単にできてしまうんです。(いとも簡単に攻撃できてしまうんですねぇ。。。)
次はWAF設定(XSS設定)をONした場合を試します。
先ほどと同じスクリプトプラグラムを入力しましたが、次の画面となりました。(きちんとブロックしてくれました!)
これでエックスサーバーのWAFの有効性が確認できましたね。(一安心)
今回はXSS対策の有効性を試しましたが、他の対策についても動作を確認できておりますのでご安心を!(^-^)
以上で今回の記事は終了となります。最後まで読んでいただき、ありがとうございました!
まとめ
いかがでしたでしょうか?
今回は、エックスサーバーで絶対やっておきたいセキュリティ設定の一つである「WAF」について次の順に説明させてもらいました。
- エックスサーバーのセキュリティ強化!WAFとは?
- エックスサーバーのWAF設定方法!
- WAF設定の効果を検証!
「WAF」の概要や必要性を十分ご理解いただけたと信じております。忘れずWAF設定を有効化しておいてくださいね!
※最後、レンタルサーバーのセキュリティ機能の最新比較結果を元に、セキュリティ機能に優れている3社をおすすめさせてもらいます!
最新(2020年版)のサーバーの「安全性」比較はこちらの記事をご覧下さい!
【2020年版】レンタルサーバーのセキュリティ比較!人気8社を徹底調査
つづきを見る