- 保守管理
サイト引越し屋さん編集部お名前.com「ネットde診断」を実際に受けレビューしてみました。
2023年9月28日から脆弱性診断サービス「お名前.com ネットde診断」がリリースされたことをご存知でしょうか?
WordPressをはじめとして、Webサイトのセキュリティは年々注目度が高まっています。
そんな中、このような診断サービスを無料で利用できるのはとても良い事ですよね。
本記事では、弊社のコーポレートサイトを実際に診断にかけてみました。
その実際の診断結果や内容のレビュー、活用法について解説しています。
Webサイトのセキュリティに興味がある方は是非ご参考ください。
「今まで大丈夫だったんだから今後も大丈夫でしょ」
このような考えでは、万が一乗っ取られた時にページを勝手に書き換えられてしまったり、削除されてしまうなどの被害が発生します。
乗っ取りや不具合で被害を受ける方が少しでも減るように、サイト引越し屋さんではWordPress保守の無料メールセミナーをお届けしています。
「WordPressを今後も安心・安全に運用したい」
とお考えの方は是非クリックのうえ情報を受け取ってください。
>>無料のWordPress保守メールセミナーご登録はこちら
目次(クリックで飛べます!)
お名前.com「ネットde診断」を受ける条件
お名前.com「ネットde診断」サービスを受けるためには、お名前.com内で独自ドメインを契約している必要があります。
後述しますが、申し込み自体もログイン後にする形になります。
今までのドメイン契約では、どこのサービスで管理するかによる違いがあまりない状態でした。
そんな中、お名前.comは契約者のみ使える無料サービスを提供することで付加価値が増えたように感じます。
お名前.com「ネットde診断」の申込方法
お名前.com「ネットde診断」はお名前.comの管理画面から行います。
まずはお名前.comにログインします。
その後、「ドメイン」>「利用ドメイン一覧」へ進みます。
ドメイン一覧の画面に進むと、下記の手順が表示されました。
「ネットde診断」をご利用の方へ
以下の手順でご利用ください。
1. ドメイン一覧の中から診断したい[ドメイン名]をクリックしてください
2. 次の画面の下方にある「オプション情報」欄にある[診断]ボタンをクリックしてください
※名前解決が出来ない場合はボタンが表示されず診断不可の場合があります
手順に従い、診断を受けたいドメインを選択してください。
ドメイン情報の画面に進んだら、「オプション」欄にある「ネットde診断」の右にある診断ボタンを押してください。
www.有り無しは現在運用中のサイトURLと合致するほうを選択しましょう。
ボタンを押すと「診断を受け付けました」と表示されます。
この表示がされたら、診断サービスの申込は完了です。
診断結果はお名前.comに登録しているメールアドレス宛に届きます。
お名前.com「ネットde診断」の結果を確認
診断を申し込んでから10分ほどでしょうか。診断結果の通知がメールで届きました。
メール本文にあるURLをクリックしてパスコードを入力すると、診断結果が表示されます。
セキュリティリスクは5段階評価のようで、左から順に下記の表記になっていました。
- リスクレベル緊急
- リスクレベル高
- リスクレベル中
- リスクレベル低
- インフォメーション
今回でいうと、リスクレベル中が1個、リスクレベル低が14個、インフォメーションが5個該当していたようで、それぞれの項目について詳細の確認が可能です。
| サービス | WordPress の load-scripts.php ファイルにおけるサービス運用妨害の脆弱性 |
| サービス | FTP プロトコルが有効 |
| サービス | POP3 プロトコルが有効 |
| サービス | IMAP プロトコルが有効 |
| サービス | 脆弱な SSH 暗号アルゴリズムのサポート |
| サービス | バージョン情報の検出 |
| サービス | ディレクトリリスティング |
| SSL/TLS | OCSP Stapling が有効になっていないサーバ |
| サービス | セキュリティヘッダ “HTTP Strict Transport Security (HSTS)” の未設定 |
| サービス | セキュリティヘッダ “X-Frame-Options” の未設定もしくは設定の不備 |
| サービス | セキュリティヘッダ “X-Content-Type-Options” の未設定 |
| サービス | HTTPヘッダ “Set-Cookie” の設定不備 |
| サービス | セキュリティヘッダ “Content-Security-Policy” の未設定もしくは設定の不備 |
| サービス | REST API 経由でのユーザ列挙(WordPress) |
| サービス | SSH プロトコルが有効 |
| ホスト | ICMP TimeStamp クエリへ応答 |
| サービス | HTTPS レスポンスから暗号化されたデータの一部を推測可能な脆弱性 |
| サービス | サブドメインの列挙 |
| ホスト | サービスの列挙 |
| サービス | readmeファイルの公開 |
例えば、「FTP プロトコルが有効」の項目では以下のような詳細が表示されていました。
「想定される影響」と「対策方法」に分けて解説されており、かなり実用的です。
お名前.com「ネットde診断」の活用法について
最後にお名前.com「ネットde診断」の活用法についてもお伝えしておきます。
まず大まかな活用の仕方としては、検査結果に「リスクレベル緊急」「リスクレベル大」が含まれていた場合は、対策内容に従って出来るだけ早く改善を進めるようにしてください。
「リスクレベル中」以降については、状況に応じて判断が必要です。
例えば、先ほどサンプルで見たFTPについては、レンタルサーバーの場合は自動でアカウントが用意されているサービスが多く、物理的に削除できないケースがほとんどです。
また、サイト運用の関係でFTPアカウントを使用しているケースもあるかと思います。
そんな時は、対策方法で示されているような暗号化プロトコルによる通信に変えるか、またはFTPにIP制限をかけるなどの対策が考えられます。
このように項目によっては対策実施の有無や対応方法の検討が必要そうです。
本レビュー記事は以上になります。
最後までお読みいただきありがとうございました。
「今まで大丈夫だったんだから今後も大丈夫でしょ」
このような考えでは、万が一乗っ取られた時にページを勝手に書き換えられてしまったり、削除されてしまうなどの被害が発生します。
乗っ取りや不具合で被害を受ける方が少しでも減るように、サイト引越し屋さんではWordPress保守の無料メールセミナーをお届けしています。
「WordPressを今後も安心・安全に運用したい」
とお考えの方は是非クリックのうえ情報を受け取ってください。
>>無料のWordPress保守メールセミナーご登録はこちら
この記事を書いた人
サイト引越し屋さん編集部
日本で最も利用されているサーバー移転&保守代行サービス『サイト引越し屋さん』の中の人です。 サイト引越しに関わる技術情報をはじめ、WordPressやその他のWebサービスに関するノウハウを発信しています。 全日本SEO協会所属。
本サイトにてご提供している情報については、最新かつ正確な情報を提供するよう努力していますが、情報の正確性や完全性を保証するものではございません。また、コンテンツには一部プロモーションが含まれております。本サイトの情報を利用することによって生じたいかなる損害に対しても、当社は責任を負いかねます。情報をご利用される際は、ご自身の判断と責任において行っていただきますようお願い致します。
