エックスサーバーの運用

【エックスサーバー運用】絶対やっておきたいセキュリティ設定(WAF)

 

エックスサーバーのセキュリティ強化!WAFとは?

 

サーバーのセキュリティ対策には次の図のように様々ありますが、今回説明しますWAFは下記図の赤枠部分となります。

 

レンタルサーバーのセキュリティ機能(概要)

 

「WAF」とはWebアプリケーションファイアウォールの略で、Webアプリの脆弱性を突いた不正アクセス(例:SQLインジェクション、クロスサイトスクリプティングなど)からWebサイトを守るためのセキュリティ対策(技術)です。

 

参考

  • SQLインジェクション:Webアプリケーションのセキュリティ上のバグを突いて、Webアプリケーションが想定しないSQL文を実行させることによりデータベースシステムを不正に操作する攻撃手法
  • クロスサイトスクリプティング:ユーザーのアクセス時に表示内容が生成される「動的Webページ」のバグを突いて、悪意のあるスクリプト(プログラム)を送り込んで実行させる攻撃手法

 

昨今、WAFが防御対象とするWebアプリの脆弱性を突いた攻撃が激増しています。

少し前の記事になりますが、Webアプリの脆弱性を突いた攻撃件数1日あたり(なんと)75万件とのことです。(攻撃種別に関しては、SQLインジェクションが56%、クロスサイトスクリプティングが19%、、、) 恐ろしいですねぇ。。。

【引用】1日75万件の攻撃を検出、「ロリポップ!レンタルサーバー」2018年第4四半期の脅威動向

 

れんた
Webアプリケーションへの不正アクセスをブロックする心強いWAF!エックスサーバーでは無料で提供してくれていますのでぜひ設定しておきましょう!

 

今ならドメイン永久無料! 9/3まで /

 

 

エックスサーバーのWAF設定方法!

 

お待たせしました。それでは早速「WAF」を設定していきましょう!

 

まずはエックスサーバーのサーバーパネルにアクセスし、「サーバーID」「サーバーパネルパスワード」を入力しログインします。(※サーバーIDやパスワードを忘れた場合は、契約時に届いたメールを確認してください。)

エックスサーバー サーバーパネル ログイン画面

【サーバーパネル ログイン画面】

 

ログインできましたら、サーバーパネルトップ画面にある「セキュリティ」項目「WAF設定」をクリックします。

 

そして、ドメイン選択画面にて、WAFを設定するドメイン「選択する」をクリックし、

ドメイン選択画面

 

WAF設定画面にて、対策したい項目をONにして「確認画面へ進む」ボタンを押下します。(6対策を全てONしておくことをお勧めします!)

WAF設定画面

【WAF設定画面】

 

ちなみに各々の対策内容は以下のようになっております。

設定項目 対策内容
XSS対策 javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。(※冒頭に説明しました「クロスサイトスクリプティング」に対する対策となります。)
SQL対策 SQL構文に該当する文字列が挿入されたアクセスについて検知します。(※冒頭に説明しました「SQLインジェクション」に対する対策となります。)
ファイル対策 .htpasswd、.htaccess、.httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。
メール対策 to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。
コマンド対策 kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。
 PHP対策 session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。

 

ちなみに、WAF設定してからシステムに反映されるまでは最大1時間かかるようです。(私が設定した際はそこまで時間はかかりませんでした。)

 

れんた
でも本当に攻撃を防げるようになったか不安ですよね。。ということで、実際にテスト攻撃を行って有効性を検証してみたいと思います!

 

 

WAF設定の効果を検証!

 

それでは試しに、XSS対策の有効性を実際に確かめてみたいと思います!

【参考サイト】WordPressのXSS脆弱性をVAddyで検出してみる

 

有効性の検証環境としては、次のような検証用Webページを準備しました。(既存のWordPressテーマのPHPファイルを少しだけカスタマイズしました。)

 

次の図が検証用Webページの実際の画面ですが、の検索窓に文字列を入力して検索ボタン(虫眼鏡マーク)を押すと、の位置にで入力した文字列をそのまま表示するようにしました。(に"HELLO"と入力したらに"HELLO"と表示されます。)

WAF検証用Webページ

 

それでは検証を始めます!

XSS対策の有効性を確認するため、文字列ではなくスクリプトプログラム(<script>alert("test");</script>)を入力してみたいと思います。

WAF検証用Webページ

 

まずはWAF設定(XSS設定)OFFした場合です。

下記のようにスクリプトプログラムが実行されてしまいました。今回の検証では文字列をポップアップ表示するだけのプログラムですが、Webサイトの内容を勝手に書き換えたり、サーバーをダウンさせたりするプログラムも作ることも簡単にできてしまうんです。(いとも簡単に攻撃できてしまうんですねぇ。。。)

WAF検証で失敗の画面

【WAF設定をOFFした場合の検証結果】

 

次はWAF設定(XSS設定)ONした場合を試します。

先ほどと同じスクリプトプラグラムを入力しましたが、次の画面となりました。(きちんとブロックしてくれました!)

これでエックスサーバーのWAFの有効性が確認できましたね。(一安心)

WAF検証で成功の画面

【WAF設定をONした場合の検証結果】

 

今回はXSS対策の有効性を試しましたが、他の対策についても動作を確認できておりますのでご安心を!(^-^)

以上で今回の記事は終了となります。最後まで読んでいただき、ありがとうございました!

今ならドメイン永久無料! 9/3まで /

 

 

まとめ

 

いかがでしたでしょうか?

今回は、エックスサーバーで絶対やっておきたいセキュリティ設定の一つである「WAF」について次の順に説明させてもらいました。

  • エックスサーバーのセキュリティ強化!WAFとは?
  • エックスサーバーのWAF設定方法!
  • WAF設定の効果を検証!

「WAF」の概要や必要性を十分ご理解いただけたと信じております。忘れずWAF設定を有効化しておいてくださいね!

 

※最後、レンタルサーバーのセキュリティ機能の最新比較結果を元に、セキュリティ機能に優れている3社をおすすめさせてもらいます!

最新(2020年版)のサーバーの「安全性」比較はこちらの記事をご覧下さい!

2020年版
【2020年版】レンタルサーバーのセキュリティ比較!人気8社を徹底調査

続きを見る

 

カラフルボックス



Mixhost



エックスサーバー

エックスサーバーのサイトへ

-エックスサーバーの運用

Copyright© WEBレコ , 2020 All Rights Reserved Powered by AFFINGER5.