お役立ち

【WAF設定】Webサイトのセキュリティ強化「エックスサーバー」

WAFとは、ウェブ・アプリケーション・ファイアウォールの略称です。

僕が利用しているレンタルサーバー「エックスサーバー」で「WAF設定機能」の提供が開始されました(全プラン無料)。

Webサイト上で動作するプログラムの脆弱性に対する主要な攻撃を幅広く防ぐことを目的としています。

【WAF設定】Webサイトのセキュリティ強化「エックスサーバー」

【WAF設定】Webサイトのセキュリティ強化「エックスサーバー」

【WAF設定】のメリット

プログラムで脆弱性が報告された際、ベンダーの修正プログラムが配布されるまでの短い合間を狙い、悪意を持った第三者によって脆弱性を突く攻撃がされることがあります(これをゼロデイ攻撃と呼びます)。

WAF設定を有効にすることで、ご利用のプログラムで脆弱性が報告された場合も、ゼロデイ攻撃による不正アクセスの被害を防げる可能性があります。

WAFは、多重のセキュリティ対策の一つとして非常に有効です。

設定方法

  1. エックスサーバーの「サーバーパネル」にログインし、[セキュリティ]→[WAF設定]をクリックします。
  2. 「ドメイン選択画面」になりますので、WAF設定するドメインの横にある[選択する]をクリックします。
  3. 下記のような設定項目がありますので、全て[ON]にします。
WAF
  • XSS対策 javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。
  • SQL対策 SQL構文に該当する文字列が挿入されたアクセスについて検知します。
  • ファイル対策 .htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知します。
  • メール対策 to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。
  • コマンド対策 kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。
  • PHP対策 session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知します。

記事作成時に「コピペを使うと、サイトのコピーを防止するため」か、更新不可といったエラーが出る場合があります。

501

その場合は、一度の全項目を「OFF」にして暫くお待ち下さい。一時間ほどすれば「更新」出来るようになります。その後、再び全項目を「ON」にしてください。

※WAF機能の設定完了。

ベース記事に戻る↓
【XSERVER】独自ドメイン付WordPressブログが1分で開始可能に【2020年最新版】エックスサーバーについての「おススメ機能」や「設定しておくべき機能(高速化・安定化・安全化)」について徹底的に調べて紹介しています。...