夏休み更新の前にやっておきたいブログのセキュリティ点検 (2) | ScanNetSecurity
2021.07.30(金)

夏休み更新の前にやっておきたいブログのセキュリティ点検 (2)

>> 対策は基本の基本を守ること

特集 特集
>> 対策は基本の基本を守ること

前述の内容を踏まえると、運用が事実上放棄されているブログサーバは、攻撃者にとって格好の餌食となることは自明だ。

では、ブログを運用する管理者が気をつけるべき点は何だろうか?

と言っても、基本的なことだけを押さえておけば、さほど難しいことではない。初歩的な対策を以下に5つ上げてみた。

(1) 最新バージョンにアップデート
(2) 適度な強度のあるパスワード設定(DB含む)
(3) 適切なパーミッション設定(コンフィグファイルは特に注意)
(4) デフォルトの名称の変更(ディレクトリ、adminユーザ名など)
(5) インストールファイルの削除

といった内容だ。

これだけを気にかけるだけでも、セキュリティレベルは向上する。さらに、もうひとつ基礎として忘れてはならないのが、 Apache などのWebサーバのハードニングだ。

例えば、Apache の 2.2.2、及び1.3.5以下のバージョンには Expectヘッダーに XSS の脆弱性が存在する。その為、Webアプリケーションがセキュアな状態になったとしても、Apacheの脆弱性を悪用される可能性があるためだ。そういった意味では、Webアプリケーションの運用は「心・技・体」の関係では無いが、運用者とアプリケーション、さらにサーバの状態のバランスを整えることが重要なのである。今後、より複雑なWebアプリケーションが登場すると思うが、その場合でも同様である。

とはいうものの、ブログサービスの利用やアウトソースをしているユーザの方が多いかと思うので、それらについても記載しておく。

>> ブログサービス利用者が気をつけるべきこと【個人編】

多くの読者がブログサービスを利用していると思う。大部分のサービスは、ある程度の強度を持っていると思われるが、心配であれば次の項目をチェックしてみるのも良いだろう(不正アクセスにならない程度のチェックにしよう)。

・Netcraft (http://www.netcraft.com)でWebサーバのバージョンを確認

・Google.com でおかしな情報が漏洩していないかをチェック(例:site:ブログサービスのドメイン filetype:php inurl:install)。

・コメント欄でタグが有効であるかの確認。

ただし、あまり深く調査すると法に触れる可能性もあるので、これくらいで止めておこう。

>> ブログサービス利用者が気をつけるべきこと【企業編】

フルスクラッチでブログを開発し、運用している企業の場合は専門の業者に確認してもらうことをお勧めする。筆者の経験上、オリジナルで脆弱性の全くないアプリケーションをあまり見たことがない。また、アウトソースをしている場合は、前述の項目に加え、次の点も調べておく…

【執筆:二根 太】

──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×