タグ検索：a-blogcms

先日の「簡単に出来る a-blog cms のセキュリティ強化方法」の時にも少し出ましたが、今回はWAF（Web Application Firewall）の話です。

最近はクラウド型や、サーバに付属で提供されているものが多く、手軽に使えるものがありますので、出来るだけ多くのサイトに導入したいと思っています。
しかしその反面、CMSでは更新時に誤検知してエラーになるなど、運用でネックになる場合があります。まだサイト運営者が把握していれば良いんですが、知識がない方だとトラブルの元にもなったり…。

そんな悩ましいWAFですが、サーバによっては大丈夫だったりもしますので、a-blog cmsで使えるところを見極めたい。

まだXSERVERとCPIのWAFしか使ったことがないのですが、今までの経験ではXSERVER（X10系）は誤検知は少なく、CPI（シェアードプランACE01）は頻繁にエラーが出る印象でした（個人的な見解です）

ということで、CPI（シェアードプランACE01）を使う時は、WAFはOFFで考えていましたが、今回調べる中でCPIのWAF設定方法（CPIオンラインヘルプ：特定シグネチャの除外方法）をオフィシャルのヘルプで見つけましたので、メモしておきます。

方法はとても簡単で、.htaccessに記述するだけです。

#特定のIPを指定して除外する方法
<IfModule siteguard_module>
SiteGuard_User_ExcludeSig ip(xxx.xxx.xxx.xxx)
</IfModule>

「ip(xxx.xxx.xxx.xxx)」のxに作業環境のIPを入れます。
ここで設定したIPの時にだけWAFをOFFにしますので、IPは固定である必要があります。
複数IPの場合は3行目の内容「SiteGuard_User_ExcludeSig ip(xxx.xxx.xxx.xxx)」のIPを変えて、下に1行追加すれば大丈夫みたいです。
決められた環境からしか更新しない場合で、外部からの投稿がないサイトはこれでOKな気がします。

また、検出されたシグネチャ毎に除外を設定する方法もある様です。

#特定のシグネチャを指定して除外する方法
<IfModule siteguard_module>
SiteGuard_User_ExcludeSig signature1,signature2
</IfModule>

この場合、検出されなくなる反面、この部分は機能しませんのでセキュリティ面からみると微妙ですよね…。
サイトに外部から投稿されるものがあり、仕方なく一部制限を緩和するといった感じでしょうか。

a-blog cmsでWAF搭載の他サーバを使う機会があれば、また調べてみようと思います。
WAFはクラウドサービスも沢山ありますし、まだまだ勉強中なので、また何か良い情報があったら書きたいと思います。

最近ではWebサイトに対する不正アクセスや改ざんなど、悪意のある者による攻撃・被害が増加しています。
そこで専門的な技術者ではなくても簡単にできる、a-blog cms 版のセキュリティを強化する方法を考えてみました。

（1）ログイン画面のアドレスを変更

a-blog cms にはログイン画面のアドレスを変更する機能が備わっています。
初期設定のまま運用されている場合は機能を活用しましょう。

//config.server.php
define('LOGIN_SEGMENT', 'ログイン画面のアドレスを設定');

（2）ユーザーのログイン情報を複雑なものに変更

簡単に推測されるようなログイン情報（ユーザーID、パスワード）は、悪意のある者に簡単にログインされてしまう可能性があります。

もちろんパスワードも推測不能な桁数の多いものに変更をおすすめします。
最新の a-blog cms では「パスワードポリシー」の設定で、パスワードの命名ルールを決めることが出来ますので、設定しておくと複数ユーザーの運用時に安心して利用できます。

また、ページの内容によっては、エントリーをポストしたユーザーの「名前」が表示されている場合がありますが、「名前」が「ユーザーID」と同じ設定内容になっている場合は、必ずどちらかの情報を変更をおすすめします。

//管理ページ
コンフィグ ＞ 機能設定「パスワードポリシー」

（3）SSL対応で通信データの暗号化

通信する情報が暗号化されずそのままでは、いつか悪意のある者に情報が盗まれてしまうかもしれません。
SSL対応しWebサイト上でやり取りするデータの暗号化をおすすめします。

SSLの導入はすでに一般化しており、安価（サーバによっては無料なところも）なサービスも増えています。
ぜひSSLを導入して安心安全なWebサイト運営を行いましょう。

なお、a-blog cms の完全SSL対応は、ver2.6.1.3以上になりますので、それ以下のバージョンをご利用の方は、まずは a-blog cms のバージョンアップからの対応になります。

（4）a-blog cms のバージョンアップ

本当はこれを一番最初に書いても良かったですね…。

どのようなシステムでも、最新版は数多くのバグフィックスがされていますので、古いシステムをそのまま使っている場合は、ぜひ最新バージョンへのバージョンアップをご検討ください。

もちろん最新バージョンには追加された機能が多数ありますので、セキュリティ向上以外にもバージョンアップするメリットは必ずあります。

（5）怪しいIPからログイン画面へのアクセスを遮断する

ログイン画面に海外IPなどから怪しいアクセスが増加した場合は、リスクを減らすために「アクセス設定」のログイン拒否リストにIPを追加することをおすすめします。

//管理ページ
コンフィグ ＞ アクセス設定「ログイン 拒否リスト」
※CIDR記法で入力（例：a.b.c.d/32）
※指定されたIPアドレスからのアクセスに限りログインが拒否されるようになります。

（6）ログイン画面にbasic認証をかける

basic認証を使いログイン画面を2段階認証にします。

a-blog cms はテーマの継承という機能がありますので、a-blog cms を設置した階層に、ログイン画面のアドレスに設定した値と同じ名称のディレクトリを作ります。
あとは作ったディレクトリに.htaccessでbasic認証をかけるだけで、ログイン画面が2段階認証になります。

なお、.htaccessの設定はサーバの仕様によりますので、自己責任でお試しください。
また、basic認証を利用する場合は、SSL環境での運用をおすすめしています。

（7）WAFの導入

WAF（Web Application Firewall）を導入し、Webサイトを攻撃から保護します。
WAFは一般的に高価なものですが、最近ではXSERVERやCPIなど、WAFの機能を無料で提供しているサーバもあります。

ただし、WAFを導入すると a-blog cms の更新時に検知・ブロックし正常に動作しない場合がありますので、運用に合わせて設定をおこなえたり、機能のON・OFFができるものがおすすめです。

最後に

a-blog cms 自体はしっかりセキュリティに配慮された素晴らしいシステムですが、Webサイトの制作方法や運用次第でリスクを増やしてしまう場合があります。今回上げた幾つかのポイントは、少ないコストで簡単に強化できる内容が多いので、気になる方は是非お試しください。

弊社のお客様には別途ご連絡させていただく予定ですが、もし何か気になる内容がございましたら、お気軽に担当までご相談ください。