HTTPヘッダーセキュリティ対策状況を確認できるツール
このブログではアフィリエイト・アドセンス広告を利用しています
当ブログでは、アドセンス・アフィリエイト広告を掲載しています。
消費者庁が発表しているルールに沿って記事を作成していますが、問題のある表現を見つけた際にはご連絡ください。
運営中のWordPressサイトのセキュリティ対策について、改めて総チェック中のきむおばです。
サイトのセキュリティ対策には、運営側に対するものと訪問してくれる読者に対するものがあります。前回の記事は、スムーズな運営をしていくためのセキュリティ対策についてまとめたものです。
>>>WordPressセキュリティ強化中。対策内容とおすすめセキュリティプラグイン紹介
そして、今回のセキュリティ対策は、ユーザーを守るためのもの。
ブログを続けていけるのは、このブログを訪れる方が存在してくれているからこそ。
大切な読者を悪意ある攻撃から守る対策が、今回のHTTPヘッダーセキュリティ対策です。
目次(読みたいところへジャンプ!)
HTTPヘッダーセキュリティ対策がされていないサイトの危険性とは
サイトの住所であるURLは、http://またはhttps://から始まっています。この「http」は、通信プロトコルの1つで、Hypertext Transfer Protocol(HTTPプロトコル)と呼ばれています。プロトコルとは、ルールとか決まり事みたいなもの。
いろいろな種類のプロトコルがありますが、その中でHTTPプロトコルはWebサイトを表示するための決まりごとです。
WebサーバとWebクライアントの双方がTCPの80ポートで接続することで、見たいサイトをブラウザーで表示できているわけです。
Webクライアント:読者がブラウザーを使ってリクエストを送る「このページが見たい」
↓↑
Webサーバー:リクエストに応じたページを表示するためのテキストなどを返す
HTTPヘッダーセキュリティ対策が不十分なサイトには、悪意を持った第三者がWebクライアントとWebサーバーのやりとりに入り込むことで、意図しないサイトへ転送させたり、意図しない情報を加えたり、Frameで悪意あるボタンを上に被せて意図しないクリックを誘発させたりするのです。
代表的な攻撃方法には、次のようなものがあります。
| 攻撃名 | 内容 | 危険性 |
|---|---|---|
| クリックジャッキング | サイトの上に偽装したリンクテキストやボタンを設置して訪問者を視覚的に騙す。iframeを使って透明レイヤーページを重ねる手法を使う。 | 知らないうちに購入ボタンを押させる 悪意あるページに飛ばされる SNSのユーザーをフォローさせられる |
| クロスサイトスクリプティング(XSS) | フォームに悪意のあるJavaScriptコードを埋め込まれる。 不正なコードを含んだリンクを掲示板やコメント欄に書き込まれる。 | 個人情報の流出 Cookie情報が盗まれる(Cookieハイジャック) アカウント乗っ取り |
| http://から始まるURLからhttps://へリダイレクト処理だけの場合、最初に接続するhttp://とのやりとりは暗号化されていないため攻撃を仕組まれる。 | 悪意あるサイトへ転送させられる |
銀行や宅配業者を装ったフィッシング詐欺メールによる被害は有名なので、気をつけている読者の方も多いはずです。ただし、この手法を使うのはメールやSMSに限りません。対策の甘いサイトや放置されたブログにも、攻撃の火種が仕組まれていることがあるのです。
サイト運営者が訪問してくれる人のためにできること
サイトを訪問してくれた方が被害に遭ってしまう可能性を減らすために、HTTPヘッダーセキュリティ対策を見直してみましょう。
運営中のサイトの対策状況を簡単にチェックできるツールを公開しているサイトがあります。
>>>HTTPヘッダーセキュリティチェッカー|ラッコツールズ
Scan your site nowにURLを入力して実行すると、A+〜Rまでのランクと、対策済/未対策のヘッダー情報を簡単にチェックすることができます。
このブログでは、あとはPermissions-Policy対策が必要という結果になりました。
サイト運営を続けていけるのは、読者や訪問者の方々がいてくれるからこそ、ですよね。
読者のためのセキュリティ対策もチェックしてみてください。
