Webサーバをセキュアに保つ設定のまとめ - Qiita
はじめに Webサーバをセキュアに保つ為、個人的に行っている設定をざっくりまとめてみました。 設定内容はApache 2.4での運用を想定していますので、他のHTTPdをお使いの方は適宜読み替えてください。 各設定項目は以下のオンラインテストサイトでA+相当を取ることを目指しています。 設定ファイル生成 Mozilla SSL Configuration Generator オンラインテスト Mozilla Observatory Qualys SSL Server Test 前提条件 以下で設定する項目は特にHTTPS接続や攻撃防止に関するものになります。 HTTPdそのものに関する基本設定については別記事をご参照ください。 SSLProtocol 危殆化した古いプロトコルを有効にしている場合、古いプロトコルを標的としたダウングレード攻撃等を受ける可能性がある為、新しいプロトコルのみを有
Requirements
Requirements To run WordPress, it’s recommended your host supports: PHP version 7.4 or greater. MySQL version 8.0 or greater OR MariaDB version 10.5 or greater. HTTPS support That’s really it. Apache or Nginx is recommended as the most robust and featureful server for running WordPress, but any server that supports PHP and MySQL will do. That said, for the smoothest experience in setting up—and ru
Let's Encrypt (無料 SSL サーバ証明書) の設定が超簡単になったと聞いて試してみた件
Webセキュリティの小部屋さんで下記の記事が公開されていて、無料の SSL (TSL) サーバ証明書を提供する認証局 「Let's Encrypt」 からの証明書取得がとっても簡単になったということなので、ちょっと試してみましたが、とっても簡単だったのでメモ。 無償SSL/TLS証明書の Let's Encrypt の設定が劇的に簡単になっていた : Webセキュリティの小部屋 Certbot たった 2コマンドで SSL 証明書の取得が完了 Let's Encrypt は元々簡単な処理でドメイン認証 (Domain Validation / DV) 証明書を取得することができて、私もテストで何度か設定してみたりしていたのですが、ある程度触ったところで、簡単そうだし手が空いたら本番サーバでも設定して使ってみようかな~ なんて思っていたらそのまま手つかずという感じで時間が経っていました。 と
ゴールデンウィーク中ですが、各所から脆弱性情報が出ている件
日本ではゴールデンウィークの真っ只中ですが、4月末から5月頭にかけていくつかサーバ管理者にとっては重要な脆弱性情報が公開されています。 日本ではゴールデンウィークの真っ只中ですが、4月末から5月頭にかけて、サーバ管理者にとっては重要な脆弱性情報(セキュリティ・アドバイザリー)がいくつか公開されています。 Apache Struts 以外は多くのサーバ環境で利用されていると思いますので、何らかの対応が必要かと思います。 OpenSSL: OpenSSL Security Advisory [3rd May 2016] ImageMagick: ImageMagick Security Issue, ImageTragick PHP: PHP 7.0.6 Released, PHP 5.6.21 is available, PHP 5.5.35 Release Apache Struts 2:
アクセス解析データを掻き乱すリファラ偽装スパムへの対策|Web制作 W3G
Updated 2015.12.24 / Published 2015.03.19 free-floating-buttons.com, free-share-buttons.com, social-buttons.com, simple-share-buttons.comなどロシアやウクライナの地域からのリファラを偽装するスパムボットが活発化しており、100セッション/日以上の被害を受けるサイトがでてくるなど、アクセス解析のデータが掻き乱され、困惑させられるケースが増えていませんか? 暫時対策として、Google Analytics以外のアクセス解析ツールを利用されている場合は、活発に活動しているスパムボット(リファラから)のアクセスを拒否することで、設定以降後の被害を最小限に抑えられ、アクセス解析データがほぼ正常になることが期待できます。ただし、所詮はここで紹介する対策はスパマーとのい
.htaccess の書き方
.htaccess とは.htaccess のルールファイル名コメントアウト文字コードと改行httpd.conf転送と有効範囲正規表現Apache のモジュールと .htaccess で利用可能なディレクティブモジュールとディレクティブ一覧HTTP環境変数後方参照RewriteRuleの後方参照RewriteCondの後方参照まとめ.htaccess とは[1] Apache HTTP Server Webサーバソフトウェアが "Apache" である必要があります。 .htaccess とは、Webサーバの動作を制御するための設定ファイル [1] です。設定例としては、特定のファイルやディレクトリのアクセスを禁止したり、HTTP 404(Not Found:未検出)エラーページをカスタマイズすることもできます。.htaccess は設置しなくともWebサイトは問題なく動作しますが、セキュ
静的リソース(HTML,JS,CSS,画像)のブラウザキャッシュを制御 - Qiita
前回のエントリ(ブラウザのキャッシュコントロールを正しく理解する)でブラウザ側のキャッシュ制御について説明しました。 ただ動的スクリプトなら、次の例のようにHTTPレスポンスヘッダを操作すればいいのですが、 <?php header('Content-Type: text/plain; charset=UTF-8'); header('Cache-Control: max-age=0'); echo "Hello World!"; ?> スクリプトを介さない静的リソース(HTMLファイル、JSファイル、CSSファイル、画像ファイルなど)はどうやってHTTPレスポンスを操作すればいいかというと、もしApacheを利用している場合は mod_header と mod_rewrite を利用して次のように簡単に出来ます! 設定例 想定ケースとして、次のようにブラウザ側のキャッシュを制御したいと仮
リダイレクトと Google 検索 | Google 検索セントラル | ドキュメント | Google for Developers
フィードバックを送信 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 リダイレクトと Google 検索 リダイレクト URL は、既存の URL を別の URL に解決することで、ページが別の場所にあることをユーザーや Google 検索に伝えるものです。リダイレクトは、次のような場合に特に役立ちます。 サイトを新しいドメインに移転済みで、可能な限りシームレスに移行したい場合。 ユーザーがサイトに複数の異なる URL でアクセスする場合。たとえば、ホームページに https://example.com/home、 http://home.example.com、https://www.example.com など複数の URL でアクセスできる場合は、そのうちの一つを優先(正規)URL として選択し、リダイレクトを使用して他の URL のトラフィックを優
MAMPを使ってローカルで複数サイトのバーチャルホストを設定&イントラ環境や仮想環境からもそのサイトを確認する設定方法
以前、『MAMPを使ってMacのローカルで複数サイトのバーチャルホストを設定する方法』というエントリーを書いたのですが、もっと具体的に書いておいて、今後に活用しようと思ったので改めて、ちょっと内容も加えて書いておきます。 ちなみに今回の内容は、先日行ったSaCSS Weekly の1週目ので行った内容と同じになっております。 今回の設定での各達成目標 バーチャルホスト:http://sacss/ でPC内の特定のディレクトリをルートとして表示する バーチャルホストを複数設定してみる イントラ環境と仮想環境からのアクセスでも特定のディレクトリをルートとして表示する htaccessをバーチャルホスト毎に使えるようにする 今回はより明確に、この4つをそれぞれ達成できるように設定方法についてを書いてきたいと思います。 バーチャルホスト:http://sacss/ でPC内の特定のディレクトリをル
.htaccess だけで簡単キャリア判定してみる | バシャログ。
まだ 6 月だってのに早くも今年初あせもができちゃったよ!かいーの nakamura です。 サイトのモバイル、スマホ対応もすっかり一般的になってきた今日この頃、みなさんいつもどんな方法でキャリア判定を実装しているでしょうか。がっつりフレームワークなどを使っていればさほど難しくはありませんが、ほとんどプログラムが動いていないような静的なサイトの場合はちょっと面倒ですね。今日はそんな時に有用な .htaccess を使ったキャリア判定の方法をご紹介します。 仕様 今回、ルートディレクトリ / は PC 用サイト、/m/ 以下がモバイルサイト、/sp/ 以下がスマホサイトとして以下の仕様を元に記述方法を考えていきます。 PC で /m/, /sp/ 以下にアクセスしたら / にリダイレクト。 モバイル、スマホで PC サイトにアクセスしたらそれぞれ /m/, /sp/ にリダイレクト。 モバイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
