Skip to content

Categories:

お名前VPS SSL+BASIC認証

おひさしぶりです。

なんかもー中途半端に忙しいです最近。

今月一番クリティカルだったのは

WPの改竄…!!

客に納品していたものが、改竄をされていました。
ヘッダーにiframeで外部に飛ばされるようになっていました。
(iframeサイズは1pxとかで見えないようになっていた)

ログを見る感じだと、管理画面に総当りアタックをされて、パスワードが割れてしまい
その後、バックドアのようなファイルを置かれてそこからうんにゃらかんにゃらという感じでした。

WPのセキュリティ管理が明らかに甘かったなと非常に反省しました。
過去に納品した案件もセキュリティの見直し等が発生し、今月忙しい感じになったというわけです
(しかも年度末だしね…)

その実際改竄があったサイトは、復旧しましたー!もう大丈夫ですヨー!とは行かず

客の以降でWPをMTで作りなおすはめに…
MT案件をほぼやった事が無かったので、すげー自信無かったのですが、以外にこれがスムージーに行きました。
まぁデザインやら、既存記事やら結構流用できたおかげですね。

MTとWPで比較なんかされますが、MTもけっこーいいところあるなぁと思いました。
(自由度はWPだと思いますが)

んで、作成したMT版のサイトもセキュリティを強化しなければいけないんですが。

WPであれば沢山Tipsやプラグインがあるので参考になるのですが。
(それが逆に迷うというのもありますが)

今回MTで行ったのは

・SSL管理画面
・管理画面のベーシック認証化

これは公式ブログの方で公開されていたTipsです。
(2011年のですが…)
http://www.slideshare.net/sakk/mtddc-tokyo-2011

上のスライドがとても分かりやすく、設定自体はすぐ出来ると思うのですが
サーバーのSSLの設定で手こずりました。

今回サーバーはお名前のVPSを使っているのですが、ここがまー使いづらくて
Root権限有りで色々設定出来るのですが、SSHで自ら設定しないといけないので…
ただのデザイナーコーダーには敷居が高いっす…

独自SSLを使用しているのですが、その辺の設定はさすがに他の方にお願いしました。

四苦八苦しながら設定したのですが、一番詰まったのが

SSLでベーシック認証がかからない

という事。

MTの管理画面には、ベーシック認証を施し、さらにhttpsでアクセスしなければアクセスを弾く
という事をしたかったのですが何故か、https時のみ、ベーシック認証がききません。

元々の設定ではSSL時と通常時のディレクトリがサーバー内で別れていたものを
SSHで

root/etc/httpd/conf.d/ssl.conf

を設定し、通常時と同じフォルダを見るように修正しました。

<VirtualHost _default_:443>
	~
	#ルート変更
	DocumentRoot "/var/www/vhosts/ドメイン名/httpdocs"
	~
</VirtualHost>

通常のアクセスであればbasic認証が動くのですが…

調べていくと、設置場所がhtaccessでの認証を許可されていないっぽい
というのがわかりました。
ディレクティブ(でいいですかね)で

AllowOverride AuthConfig

という記述をし許可しなければいけないという事のようです。
先ほどの設定部を下記に修正

<VirtualHost _default_:443>
	~
	#ルート変更
	DocumentRoot "/var/www/vhosts/ドメイン名/httpdocs"

	#htaccessを許可する
	<Directory /var/www/vhosts/ドメイン名/httpdocs/ディレクトリ名
		AllowOverride AuthConfig
		Order allow,deny
		Allow from all
	</Directory>

	~
</VirtualHost>

これでやっとこSSLでbasic認証が通りました!
SSLのディレクトリを変更した事で、許可を再指定しなければいけなかったという事ですかね(たぶん

色々いじれる反面、知識が無いと辛いですね。

Posted in web.


0 Responses

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.



Some HTML is OK

or, reply to this post via trackback.

*