Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2017年2月12日
WordPressのSiteGuard WP Pluginの威力が凄まじい件

このサイトは WordPress で構築されていますが、セキュリティ対策の一環として「SiteGuard WP Plugin」プラグインをインストールしています。 有効にしているのは以下の機能ですが、この効果がすばらしい。まずコメント登録時に画像認証を入れることでスパムコメントが一切なくなりました。WordPress はスパムコメントとの戦いと言ってもいいのでこれだけでもすばらしいです。 ...
>>続きを読む

2017年2月11日
SiteGuard Lite(WAF)で常時HTTPSなWordPressサーバーに移行完了しました

本日(2017/02/11)はサーバーの移転作業のため、サイトにアクセスできない時間が長くなり失礼いたしました。想定していなかったトラブルが頻発し、解決するのに丸1日かかってしまいました。   このサイトは、さくらVPSの1Gプランで運用していたのですが、IOPS 制限でサーバーが落ちてしまうことが頻発していました。原因は、ディスクI/Oにあるようなのですが、さくらはその閾値を公開していません。 ...
>>続きを読む

2017年1月30日
僕が WordPress のサイトで行っているセキュリティ対策

はじめに このサイトは、さくら VPS の CentOS 6.x で WordPress を使って構築されています。 一応、Web セキュリティをうたっている訳なので、それなりにセキュリティ対策はしています。 初心者でもできるだけ分かるように、このサイトで行っているセキュリティ対策をご紹介したいと思います。   CentOS のセキュリティ対策 CentOS のセキュリティ対策ですが、なにはともあ...
>>続きを読む

2017年1月7日
ログアウトの CSRF 対策は本当に必要なのか?

はじめに Web アプリケーションのログアウト処理で、CSRF (クロスサイトリクエストフォージェリ)の対策をしているものは意外と少ないのではないかと思います。徳丸先生も以下のようにおっしゃっていますし。 ログアウト処理にCSRF対策していないサイトは多いので、ログアウト処理でもきっちりトークン入れとけば「こいつは堅そうだ」と攻撃者が避けて通る…という期待は甘いよね ^^; — 徳丸 浩...
>>続きを読む

2016年10月1日
無償SSL/TLS証明書の Let's Encrypt の設定が劇的に簡単になっていた

はじめに 無償で使用できる SSL/TLS 証明書の Let’s Encrypt は、以前から簡単に SSL/TLS 証明書を取得できたのですが、仕組みがバージョンアップしてさらに簡単になっていましたのでその手順をご紹介します。 以前、正式版リリース時に行った以下の設定方法は今も有効ですのでご心配なく。新しい方法は、環境によって動作しないことがあるようなので以下の方法があるということは知っ...
>>続きを読む