月 300 円を高いとみるか、安いと見るか。人それぞれだと思いますが、セキュリティ診断をしてくれるところを知らないので、登録してみました。 Lollipop さんのところでやっています。
診断結果
診断結果は大きく分けて5段階で表示され、私の場合は上から2つ目の「 B 」ランクでした。曰く「早急なセキュリティ対策は不要です」ただし、将来的には追加の対策実施をオススメします。セキュリティを維持するため、定期的な診断を行いましょう。です。画像で見えるかどうかわかりませんが、向かって左に個別の問題点が列挙されています。結構細かいチェックがされており、好感が持てますね。
セキュリティリスクに(将来的に)なりそうな項目が7つありました。
- Apple Mac OS の .DS_Store ファイルによるディレクトリリスティング
- セキュリティヘッダ”HTTP Strict Transport Security(HSTS) ”の未設定
- セキュリティヘッダ”X-Frame-Optiion”の未設定もしくは設定の不備
- セキュリティヘッダ”X-Content-Type-Options”の未設定
- セキュリティヘッダ”Access-Control-Allow-Origin”の設定
- セキュリティヘッダ”Content-security-Policy”の未設定もしくは設定の不備
- REST API 経由でのユーザー列挙( WordPress )
訳わからんもんが多くて、頭が混乱します。
できることから対策
まずは、サーバーに .DS_Store ファイルが残っているよ。というメッセージ。ファイル転送した際に残っていたんですね。これがセキュリティリスクにつながるというのも初めて知りました。サーバーをスキャンして .DS_Store ファイルは一掃しました。
対策取ると言うより、後のものはまず意味を調べますね。で、一番下の REST API というのを調べました。 WordPress では最近取り入れられた機能ですね。様々なデータを JSON 形式で WordPress から取り出したりできる機能です。「そんな機能危ないんじゃない?」と思ったのですが、調べてみるとパスワードなどは取り出すことができません(当たり前ですね)。そしてリモートで様々なデータを取り出したりできるのは便利なわけで、これを利用しているプラグインも多いそうです。
で、自分なりの結論として REST API そのものに害はない(脆弱性はここまで見つかっていない、もしくは対策が取られている)。と判断し、無視することにしました。
もうひとつ。 HTTP Strict Transport Security(HSTS) 。これは、簡単に言うと HTTPS を強制するというもの。 Google さんのところでも登録することによって強制的にセキュア接続に持っていくってのがあって、今登録申請中です。 HSTS に関しては、有無を言わせずセキュア接続に持っていくというので、必要だと考えました。
この設定は .htaccess に書き込むんですが、私が説明するとしどろもどろになりそうなので、サイトを紹介するにとどめますね。
HSTSの解説と設定方法【.htaccessの書き方】
HSTS(HTTP Strict Transport Security)の仕組みや必要性の解説と、.htaccessによる設定方法を紹介しています。HSTSはSSLを強化しますが、強力な指示なので設定には注意が必要です。
後はこの後、対策できるものからやっていく
後のものは意味も含めてこれから調べつつ実践していきます。セキュリティ診断は月初めに行うように設定しました。それまでにいくつクリアできるでしょうね。ちょっとずつでも対策してセキュリティに強いサイトにしていきたいと思っています。
Lollipop さんは、共用サーバーですので、できないこともあると思いますが、できることからチビチビと実行していくことが賢明だろうと思っています。
投稿者プロフィール
最新の投稿
ノン・カテゴリ2025年3月6日家電製品の故障は連鎖する
blog2025年2月15日脆弱性対策- blog2025年2月14日GMO サイバー攻撃ネット de 診断
Mac2025年2月10日簡単にローカル LLM 環境が整備できるんですね
