Webセキュリティの小部屋

WordPress 3.6 が動作している Windows Server 2012 R2 に、WebKnight を導入してみます。WebKnight を Windows Server 2012 R2 にインストールする方法は、以下の記事を参考にしてください。

• オープンソースの WAF である WebKnight を Windows Server 2012 R2 にインストールする

WordPress をインストールしているサーバーに WebKnight をインストールすると、いきなり WordPress にログインできなくなるところから始まります。WordPress のログインは、リダイレクト時にセキュリティ上よくないとされている方法をとっているようですね。

Config.exe を使って WebKnight の設定を変更してみましょう。Config.exe の使い方は、先ほどの記事を参考にしてください。

そして、WordPress が動作するために行う設定が以下のようになります。

• Gloabl Filter Capabilities
• Denied Post Sequences で以下のアイテムを削除
• =http://
• =https://
• style=
• content-encoding:
• Querystring
• Denied Querystring Sequences で以下のアイテムを削除
• =http://
• =https://
• ContentType
• Allowed Content Types に以下のアイテムを追加。
• multipart/form-data
• text/xml
• １行目はブランクのままにしておくのが規則なので要注意
• URL Scanning
• URL Denied Sequences で以下のアイテムを削除
• /admin
• /xmlrpc.
• Requested File
• Denied Files で以下のアイテムを削除
• shadow
• Response Monitor
• Use Deny Information Disclosure のチェックをオフにする

上記の設定が終了したら、設定を保存します。

これで基本的なリクエストはブロックされなくなると思いますが、WordPress や WebKnight のバージョンアップによりブロックされる項目が増えるかもしれません。

その場合は、LogAnalysis.exe でブロックされたリクエストの内容を確認し、1つずつ問題を解消していきます。WAF(Web Application Framework) の導入で面倒なのが、この偽陽性の解消になります。

WAF設定まとめ

WAFの設定については以下のページにまとめていますので、こちらもどうぞ。

Webセキュリティの小部屋

WAFによるセキュリティ対策

https://www.websec-room.com/waf

WAF とはWAF (Web Application Firewall) とは、クロスサイト・スクリプティングや SQL インジェクションといった、Web アプリケーションに対する攻撃を防御する製品のことです。WAF は Web アプリケーションにリクエストが届く前にリクエストを検査し、攻撃だと検知したらブロックしてくれます。そのため、Web アプリケーションに潜在的な脆弱性が含まれている場合の多層防御として有効に機能します。特に、事情により改修ができなくなった Web アプリケーションの保護に役立ちます。WAF にはネットワーク型とホスト型があり、ネット...

カテゴリー:ツール