ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ
(2013/08/29)追記 ロリポップ上のWordPressが不正アクセスされる事例が増えているようです(参考)。現時点で侵入経路等は明らかでありませんが、以下に説明する方法で、公開ページに対するSQLインジェクション攻撃や、管理コンソールに対する不正ログインに対しては、かなり効果があると考えられます。ユーザーの参考になれば幸いです。また、タイトルを変更しました。 追記終わり 今年の9月27日から、ロリポップのレンタルサーバーの全プランで、WAF(SiteGuard Lite)が標準装備されるようになりました。 WAF(ウェブアプリケーションファイアウォール)を導入いたしました ロリポップ!レンタルサーバーはWAF標準装備です。 http://lolipop.jp/waf/より引用 これは大変良いことですね。インターネット上のすべてのサイトが攻撃の対象ですし、被害も増えている印象がありま
@IT Special PR:サーバの“お守り”に、さようなら! さくらの「マネージドサーバ」を早速使ってみた
これが新サービスに投入される、さくらインターネット独自のAtomサーバだ(クリックで拡大)。パッと見わかりづらいが、1Uサーバの半分の幅、半分の奥行きしかなく、1Uに4台入れることができる 11月末に発表され、12月10日にスタートしたばかりの「さくらのマネージドサーバ」とは、これまで同社が提供してきた共有タイプのさくらのレンタルサーバと、専用サーバの中間に位置付けられるサービスだ。さくらインターネット 企画部 商品企画チーム 天内雅晴さんは、こう説明する。 「これまで弊社のプランですと、レンタルサーバの最上位プランは月額4500円でハードディスク40GB。これ以上のものをご希望の方には、専用サーバしか選択肢はありませんでした」 専用サーバなら同社の月額7800円のエントリープランでも、メモリ1GB、ハードディスク160GBが自由に使えるが、同時にサーバOSやサーバ上のソフトウェア設定に関
SiteGuard Liteはシグネチャ検査に特化することで価格を下げた廉価版と言うことになります。 インストール SiteGuard Liteは商用製品ですのでバイナリでの提供となります。Red Hat Enterprise Linux 4/5/6あるいはCentOS 4/5/6が動作可能ディストリビューションとなっています。筆者としてはUbuntu上でも動作確認してもらえるとありがたいと思いましたので、JP-Secure社にはそう要望しています。 rpmによるインストールは基本的には以下の3コマンドです。 # rpm -Uvh siteguardlite-1.00-beta.i386.rpm # cd /opt/jp-secure/siteguardlite/ # ./setup.sh 最後のsetup.shはApacheの各種パスなどを指定するものです。その他、SE Linux用のポ
海外メーカー製品から国産WAF「SiteGuardシリーズ」に乗り換え導入コストを40%削減し、ホスティング業務効率も大幅に改善
ホスティングサービスやITコンサルティングの事業を行う株式会社ディレクターズ(以下、ディレクターズ)は、オンプレミス運用の海外メーカー製WAF(Web Application Firewall)において、管理画面の操作方法が複雑で分かりづらく、ライセンス費用が高額という課題を抱えていました。それを解決するため、株式会社ジェイピー・セキュア(現:EGセキュアソリューションズ株式会社)のホスト型WAF「SiteGuard Server Edition」(以下、SiteGuard)を選択。海外メーカー製品から置き換えることで、コストを約40%削減するとともに、日本語UIのおかげで社内の誰でも運用が可能になり、お客様への安心と信頼の醸成に大きく貢献したといいます。ディレクターズがSiteGuardの導入を決めた経緯や、導入後の効果について、キーマンとなるお二人にお話をうかがいました。
ホスト型WAF SiteGuard LiteのためのRubyライブラリを公開しました - Pepabo Tech Portal
こんにちは。ペパボEC事業部でソフトウェアエンジニアをしている小野です。テックブログを書くのは約1年ぶりになります。さて、本日はネットショップ作成サービスのカラーミーショップに、JP-Secureが提供するホスト型WAFであるSiteGuard Liteを導入するにあたり作成したRubyライブラリを2つご紹介します。 SiteGuard Liteについて SiteGuard Liteは公式ページによると以下のように説明されています。 SiteGuard Lite(サイトガードライト)は、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。ウェブサーバー自体にインストールするため、専用ハードウェアが必要ありません。できるだけシンプルに導入したいお客様に最適な製品です。 SiteGuard Lite(ホスト型) | WAF製品・サービス | 国産WAFのJP-Secure カラーミ
ネコでもわかる!さくらのVPS講座 ~番外編「WebサイトのセキュリティはSiteGuardで安心」 | さくらのナレッジ
編集部注:SiteGuard Liteについて 本記事にて紹介しております「SiteGuard Lite」は、名称が「SiteGuard Server Edition」に変更されています。適宜読み替えてください。(機能は同じです) 初心者がVPS(Virtual Private Server)をWebサーバーとして構築し、WordPressのサイトを運用できるようになるまでの「ネコでもわかる!」連載の番外編です。 連載は8回で終了し、WordPressサイトを公開できるところまでご紹介しましたが、今回は番外編としてSiteGuard LiteをVPSにインストールする手順をご紹介します。 対象サーバーは、さくらのVPS CentOS7 x86_64です。 VPS講座を最初から読みたい方はこちらからどうぞ。 SiteGuard Liteとは、WAF(Web Application Firew
本ページでは、ホスト型WAF「SiteGuard Server Edition」とゲートウェイ型WAF「SiteGuard Proxy Edition」をご利用のお客様へサポート情報をご提供いたします。 お問い合わせ等のサービスをご利用する際には、製品納品時に同梱させていただきました「契約内容確認書」に記載されている情報が必要となる場合がございます。予めご了承ください。 最新ソフトウェア、マニュアル等のダウンロードは、下記のダウンロードページをご利用ください。(ユーザーID・パスワードによるログインが必要です。)
WAF(Web Application Firewall)は、これまでのL3ファイアウォールでは防御することが難しかった、Web上で動作するアプリケーションなどのL7への攻撃検知・防御や、アクセス制御機構などを提供するものです。 L7に対する攻撃はSQLインジェクジョンやクロスサイトスクリプティングなどの脆弱性を標的とすることが多く、これにより人間が直接可読可能なデータを入手される可能性が高くなり、個人情報など機密性の高い情報の漏えいにつながるケースが増加しつつあります。 これらのリスクを最小限に抑えるWAF機能として、 さくらのVPS ではEGセキュアソリューションズ株式会社が開発する純国産のホスト型WAF製品「SiteGuard Server Edition」を さくらのVPS 向け特別版として無料で提供しています。
SiteGuard Liteプレリリースページ
ウェブサーバにモジュールとして組み込んで利用するホスト型のウェブアプリケーションファイアウォール 実績ある「SiteGuard」のトラステッド・シグネチャ検査機能を踏襲し、クロスサイトスクリプティングやSQLインジェクションといったリスクの高い攻撃を重点的に防御するシンプルなホスト型のWAF製品 1.高い防御性能を誇るシグネチャ検査機能 「SiteGuard」で実績あるトラステッド・シグネチャをベースとしたブラックリスト型の防御機能を搭載しています。トラステッド・シグネチャは自動更新されるため、お客様側で煩雑なチューニングをすることなく、標準設定で常に最新の脅威に対応することができます。検査対象の除外や独自の防御ルール作成など、個別のご要件にも柔軟に対応できるカスタム・シグネチャ検査機能も搭載しています。 2.ネットワーク構成に影響を与えないモジュール型 「SiteGuard Lite」は
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ホスト型の廉価版WAFであるSiteGuard Liteを評価した
サポート情報 | WebセキュリティのEGセキュアソリューションズ
SiteGuard Server Edition(WAF)