はじめましておひさしぶりですこんばんわ。
リベロエンジニアで社員として働きながら、藤波製作所で個人事業主(代表)という活躍の機会をいただいているドラゴン藤波です
今日は実際に攻撃された内容と、対策が書いてあります。
前回「【セキュリティ】ホームページとレンタルサーバ1/2」の続きです。
しかし今までと違うのは、過去契約していたレンタルサーバで実際に受けた攻撃に対する対策を書いてあります。
ホームページはレンタルサーバ。という企業様も多く居ると思うので、ぜひ参考にしてください。
WordPress、便利ですよね。
WordPressでホームページ作るの便利ですよね。気軽ですし。
どっこい、気軽に作れちゃうツールで気軽に作っちゃうと、
ウッカリ脆弱性だらけになる可能性が平気であるわけですね。(前回のおさらい)
さらにレンタルサーバのユーザ側では制限できる箇所に限界があり、
ガチで攻撃されたり踏み台にされたとき、ユーザは気づかない可能性のほうが大きいです。
※具体的にはメールとかね。
今回、私からは実際に「過去契約していたレンタルサーバ上でやられた」事をテーマに、
対策してほしい事をリストにします。
レンタルサーバ上で今すぐ有効にしてほしい事シリーズ!!!!
WAF有効にしろ。
WAF効かせてください。マジで。
SSGで作ったLPだけの完全静的サイトのみならともかく、有効化してください。
いまどきのレンタルサーバ屋さんはWAFを提供しています。
え?あるかどうかわかんない?お気軽に弊社までご相談くださいませ。
FTPの接続元IP縛れ
レンタルサーバ側は通常、FTPポートを0.0.0.0/0、つまりanyに開けてます。やられ放題です。
「ウチ固定IPないんだけど」って企業様いると思います。いいですよ無くて
FTP経由ってことは、CMS経由でデータアップじゃなくて、サーバとFTPを使って更新するサイトですよね?
大丈夫。CMS勢に比べたら、めったに更新してないです。都度書き換えたらいいんです。
狙われるリスクのほうが大きいです。
え?あるかどうかわかんない?お気軽に弊社までご相談くださいませ。
SSL有効化しろ
いまどきHTTPSじゃないとか、あるんかいな って思うでしょ?
あるんですよ
これ、何が問題かというと、いまどきのブラウザはHTTP通信を許可しない設定になってます。
この箇所ですね。
「艦これ」がHTTP通信なので、最近のブラウザは標準では許可してなくて利用できないのですよ。おかげで、いまだに「艦これ」のプレイできなくて、提督業に戻れないんです。艦これアーケードでしか、「特型駆逐艦 綾波型の潮」をつつけないんです。
アクセスする方法はあるんだけど
とはいえ、設定を変えることで、HTTPを許容することができます。
が、特定ドメインへの通信は平文通信を許容してしまえ、というワケです。
ここが問題なんです。
コンテンツによって重要な仕組みが裏側にあると思います。
入り口側がHTTPSでも、もう全部HTTPなんじゃないか。とハテナですよね。
こちらのサイトを見る限り、dmm.comに対してHTTPを許容するよう記載があるので、
そうなると、重要な仕組み次第によっては、利用したくない、というか利用できないという話になります。
最近はレンタルサーバ側が無料でLet’sEcnryptなんかを使って、自動更新掛けてるものが提供されているパターンが普通です。
遠慮なくSSL有効化してください。
繰り返しになりますが、HTTPS通信じゃないとブラウザ側が拒否する時代です。
早急に対応しましょう。
え?あるかどうかわかんない?お気軽に弊社までご相談くださいませ。
WordPressとプラグインは定期的に更新しろ
もはや言うまでもないです。
WordPress、およびプラグインはメチャクチャ脆弱性が多くて、常に狙われています。
ドメインパワーの高いサイトは危機意識をもって対応するべきでしょう。
2段階認証使え
管理画面がインターネット上にある以上、仕方ないです。
またライターや整備員の作業場所が異なるため、グローバルIPを固定しようがないパターンも多々あると思います。
せめて2段階認証を有効化して、ID&パスワードで突破できてしまう状態を防ぎましょう。
※大手は固定IPからのみメンテしてんだろうな。知らんけど。
レンタルサーバ上でメールアドレス作るな
レンタルサーバ提供のメールサーバを使うのは回避したいですね。
そもそも単純にID/PWだけで、どこからでもメールサーバにログインできてしまうのは
ちょいと今となっては、、、、感がとても強いです。
※ユースケースによるので、一概に否定しているわけではないですよ。
メールに関しては、MXレコードをOffice365やGoogleWorkSpaceに向けたいところです。
SPF/DKIM/DMARC対応の件もそうですが、MXレコードを上記グループウェアに向けるとメンテが凄く楽ですよ。
wp-adminはどうする?
こいつはすごく悩みます。小技を効かせることで、どうこうすることは可能ですが、
どこで、どう変更するか?によって影響範囲が変わります。
メンテできる人が居ない環境にコレをやると「技術的な負債」を残すことになります。
※まじで。本当に。トリッキーな事はやったらダメ。まじで。
さて、僕がこの記事を書いていて、苦労した思い出を振り返りながら、一番思ったことは次の通りです。
【極論】言いたい事
無邪気にCMS使うな
はい。これです。
単なるコーポレートサイトやLPの集合体で、特に更新しない事が予見されるサイトは静的サイトで十分です。
上記にも関わらず、CMSで作られて放置されているWEBサイトが多すぎます。
「作るのが楽」だし「作り方を提案しても伝わらない可能性」は理解できますが、
果たして顧客側は「あるべき運用コスト」までを理解して発注しているのでしょうか?
ページ数やコンテンツの貧弱なWEBサイトの場合、手書きとCMSでは大して労力が変わらないはずです。
さらに初期ページ数は多いが更新が無い場合はSSGを使用し、
コンテンツもページ数も貧弱ならウェブサイトビルダーを活用すれば事足りるはずです。
なんなら、昨今の情勢を考えると、WEBサイトよりSNSの流量のほうが多い。
そんなユーザ様も居るのではないでしょうか。
。。。等々を考えたとき、CMSを使うのが一概に正解か?は疑問です。
メンテされないサイトをCMSで組んだら?
メンテされないまま放置されて、狙われて踏み台にされたり、悪意のあるサイトにRedirectする状態になる。
という可能性だけが増えます。
更新頻度との兼ね合い
CMSを使う主な目的に「更新頻度」があり、
この「更新頻度」の定義が難しいため、CMS前提で組まれているのでしょう。
HTML手書きは無いかな~と思いつつ、ほかの手段やプラットフォームを使う案も視野に入れた上で、提案し、作れるのがよいのですが、
現実、難しいところなんだろうな、と感じています。
静的サイトジェネレータ(Static Site Generator)
脱線しますけど、個人的にはSSG好きですよ。面倒ですけど。
静的サイトのテンプレを食わせてあげれば、どうやらSSGでもかなりオシャレになるので
製作所のHP、次はSSGで組んでみようかなーと思います。
セキュリティは「灯台下暗し」
ウチは大丈夫と思っている間に、しっかり乗っ取られているのがセキュリティです。
このホームページも、安全に運用して、読んでくれる方々に提供していきたいですね。ご安全に!ヨシ!!
最後に
ワードプレス「で」できる対策もまとめようかと思いましたが、
丁寧にまとめているサイトがあったので、下記にLINKを記載しておきますね。
https://www.aeyescan.jp/blog/wordpress_vulnerabilities/
https://giginc.co.jp/blog/giglab/wordpress-security
https://help.sakura.ad.jp/rs/2162/
WEBサイトの話1つ取っても、記事を2回に分けちゃうドラゴン藤波と仕事したい人はいませんか?
気軽にカジュアル面談に応募ください。
現場で待ってます。