お名前.com ネットde診断とは、ホームページの状態をチェックする無料のサービスです。
■ドメイン取るならお名前.com■のドメインが必要です。
このブログはお名前.comのドメインとサーバーを利用しているので早速診断してみました。
お名前.comネットde診断を行い、診断結果がB以上の評価だった場合
定期的なサイバー攻撃対策に取り組んでいることを示す「サイトシール」を貼ることができます。
実際B以上だったのでサイトシール(サイバー攻撃対策サイトシール)を貼っています。
少しハマった「SSLサーバ証明書導入済みサイトシール」が表示されない原因も分かりました。
やり方
■ドメイン取るならお名前.com■でドメインを持っている人が対象です。
https://www.onamae.com/option/shindan/?banner_id=shindan_oshirase_2にアクセスし
さっそく無料診断を始める→Naviにログイン→ドメイン契約更新が出るが左のドメイン→利用ドメイン一覧→更新画面から移動する→該当するドメインをクリック→ドメイン詳細→ネットで診断はこちらをクリック→オプション情報のネットで診断の項目に診断ボタンがあるのでクリック→10分後、メールが届くのでリンクをクリック、メールにあるパスワードを入力すると結果のページが見れます。
結果
診断結果はBでした。
5段階評価のようで左から
リスクレベル緊急、高、中、低、インフォメーションという順番になっています。
上の結果では右から2番目のリスクレベル低が10個インフォメーションが9個でした。
検査項目をクリックして広げると想定される影響や対策が書かれています。
リスクレベル低が10個それぞれに対策として、いろいろ難しいことが書かれていますが、
対策したことにより正常に動いていたものに影響したらいやなので、そのままにしています。
サイトシール
「サイトシールの発行が可能です」ということなので「サイトシールを貼る」をクリック
STEP 1 シールのデザインを選択STEP 2 シールのサイズを選択STEP 3 シールの間隔を選択(シールは2枚なので、その間隔)STEP 4 スクリプト設置「下記のスクリプトをコピーして、お客様サイトのHTMLソースにペーストしてください。」ということなのでカスタムHTMLを使ってコードを貼り付けた。最初表示されないが30分後に表示されます。
シールをクリックすると「GMOサイバーセキュリティ byイエラエがこのサイトの不正アクセス対策をサポートしています。」という画面が出る。
そこに書いてある有効期限が1年になっているが何を意味するのだろう?
SSLサーバ証明書導入済みサイトシールが表示されない原因
右の「サイバー攻撃対策サイトシール」は表示されましたが
左の「SSLサーバ証明書導入済みサイトシール」が表示されません。
https://www.onamae.com/option/ssl/に書いてありますが、
無料のSSL(私はこれ)の場合、サイトシールはなしになっているので表示されないみたいです。
表示しないので「サイバー攻撃対策サイトシール」1個表示にしてみます。
今のページの上のほうの「サイバー攻撃対策サイトシール」→サイトシールを詳しく見る
で1個だけ作れます。デザインを変更して作ってみました。
しかしカスタムHTMLのプレビューでは表示されますが、
全体のプレビューでは見えません。どうやら1ページで1個だけしか表示されないようです。
サイドバーに追加してみた
外観→カスタムHTML→サイドバー→ウィジェットを追加→サイドバーにカスタムHTMLが追加されるのでコードは貼り付け保存(WAFはOFFにしないと保存されません。)→完了(WAFは必ずONに戻す)
WAFがOFFのときは無防備になりますで十分注意してください。
詳しいメカニズムはこちらで解説してます。
全ページのサイドバーの1番下に表示されますが、
このページでは本文のほうのシールが優先されてサイドバーは表示されていません。
多分1ページ1個の制限があるっぽい。
VPS移行後、再度試してみた
診断結果はBでした。
リスクレベル低が10→4個インフォメーションが9→6個に改善した。
WAFの導入やアクセスログを見て、結構、対策した。
対策した(ChaGPTに聞いた)
リスクレベル低
・https://kikuichige.com/etc/passwdを外部から閲覧可能であることを確認しました
・診断対象のWebサーバからのレスポンスヘッダに “X-Frame-Options” が未設定です。
・診断対象のWebサーバからのレスポンスヘッダに “X-Content-Type-Options” が未設定です。
・診断対象のWebサーバからのレスポンスヘッダに “Content-Security-Policy” が未設定です。
最後の対策は赤字のところですが、これをやったらA8の広告が表示しなくなったのでやめました。
Content Security Policyはこちらが分かりやすいhttps://it-infra.techmatrix.jp/blog/check20
設定値を’self’ではなく、許可するものに変える必要がありそうです。
参考サイトを見るとGoogle Analytics等にも影響がありそうなので、ここの対策はやめておきます。
nginxのconfファイル(私の場合jikken1.conf)に以下追加
以下の2か所内に各Headerの追加と/etc/passwdへのアクセスを禁止した。
server {
listen 80;
server {
listen 443 ssl http2;
略
# お名前ネットde診断の対策
add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
#add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:";
# お名前ネットde診断の対策
location /etc/passwd {
deny all;
return 403;
}インフォメーション
リスクに分類されていないが推奨されている項目で対策できるものだけやってみました。
・HTTPS通信においてHTTP圧縮の無効化を推奨します。
上記と同じ位置に以下追加→効果がなかった。(再度チェエクしても指摘されている)
gzip off;対策した結果、低リスクが1個(Content-Security-Policy)に減りましたが判定はBでした。
所感
個人的にレンタルサーバーのWordPressだと、
セキュリティを意識しないし結果も実際よかった。
3年間何事もなかったので、なぞの安心感がある。
なので診断自体は、あまり利用価値はないかなと思ったが、
Djangoなどで作った自作のサイトだと、かなりセキュリティは不安なのでこれはいい。
今後、VPSでDjangoを動かそうと思っているので、
そのときは■ドメイン取るならお名前.com■でドメインとって使いたい。
またシールに関しては安心感のアピールになる。
特に有料のSSLと無料のSSLで一般ユーザーがブラウザでWEBページをみても
表面的な違いは分からない。
なので「SSLサーバ証明書導入済みサイトシール」があれば信頼感は上がるかも。
高額なので私は使いませんが。
イチゲをOFUSEで応援する(御質問でもOKです)Vプリカでのお支払いがおすすめです。
MENTAやってます(ichige)
コメント