ModSecurity の WAF機能を使ってサイト改ざん対策をしよう

2019年11月 9日
サイトをチェックしよう

こんにちは、運営のすしぱくです。('A')ノ

Plesk 18 がリリースされて、メールのSNI機能が追加されたりWPの一括アップデート(WordPressToolKit)ができるようになったりとガンガン進化を遂げているPleskです。
あまり機能紹介ができずにおりますが、未だ現役で使っておりますので、何かヘルプ・サポートなどがあればお気軽にご連絡ください。

さて、今回は「不正アクセスを防ぐ「Fail2Ban」を設定しよう」に続いて、WAF(WebApplicationFireWall)のMod Security のお話です。

サイト改ざんに役立つ便利な機能
 

Plesk18からは標準実装のこの機能。


その名の通り、ウェブアプリケーションファイアウォールと言って、簡略に説明するとWordPressやMT、オープンなメールフォームなどのソースコードの改ざんがあった場合、アプリを利用不可にしてサーバーが踏み台にされる前に対処してくれるという機能です。アプリ単位で設定できます。

詳しくは、GMOクラウドさんが説明してありますので参考にしてください。
WAF入ってる?PleskのModSecurity導入設定でセキュリティ向上しよう! | GMOクラウドアカデミー

では、実際に設定する方法を紹介します。Plesk18以前の方(17からアップデートした方)は、通常のコントロールパネルには表示されていませんので、製品のコンポーネントから追加してください。

2019-11-08_22h15_05.jpg

ModSecurityという項目があるのでここにチェックをいれてインストールすると

2019-11-08_22h16_00.jpg

自動的にインストーラーが開きますので

2019-11-08_22h17_13.jpg

あとは完了を待てば終わります。

その後、一度コントロールパネルへ戻り

2019-11-08_22h17_31.jpg

ツールと設定 → セキュリティ → ウェブアプリケーションファイアウォール のリンクをクリックしてください。

2019-11-08_22h18_05.jpg

初期設定は、オフの状態になっているので、オンに切り替えましょう。

2019-11-08_22h18_25.jpg

ルールセットには、それぞれ機能制限やアプリケーションがブロックされてしまうのがありますので、基本的な保護をしているComodoがオススメです。ルールセットは毎日にしておくと日々新しいセキュリティが更新されます。

2019-11-08_22h19_03.jpg

事前定義されたものはCPU負荷が少ない高速がおすすめです。

以上、WAFの設定項目でした。これらの機能もSSHやサーバー側で設定することなくPleskで利用できるのは大きいですね。ぜひ日々のセキュリティ対策にご利用ください。


GMOならPleskが月額350円!
最新版のPLESKを最安で利用するなら、GMOクラウドが提供するVPSプラン+Plesk(Pro Edition以上)がおススメです。Pleskを利用できます!公式サポートだから、初心者も簡単!15日間のお試し期間もあるから安心だよ!>>  GMOクラウドの詳細はこちら
▲ ぷれつくのオススメサーバー
新着・更新情報
ブログ/お知らせ
Pleskについて
Pleskの便利な機能
Pleskを導入しよう
DNSを理解しよう
Webサイトの設定
サイトをチェックしよう
ターミナルを使おう
メールの設定をしよう
データベースを使おう

Moveble Typeの導入

便利な機能、テクニック

インフォメーション


Pletkの管理人ことすしぱくです。PAKUTASO/ぱくたそ無料写真サイトなんかを運営しています。

オススメ書籍