個人サイトやWebサービスやってる方、サイバー攻撃の対策ってして...
個人サイトやWebサービスやってる方、サイバー攻撃の対策ってしてますか。
毒マシュマロを無視し続けたら、SQLインジェクション?という攻撃を受け、データベースを吹き飛ばされました。
何を言ってるか分からないと思いますが私も分かりません。
SQLインジェクションって何????
同人界隈ではサイバー攻撃を受けるのはよくあることなんでしょうか。
ヲチスレに晒されようが、毒マロや鍵リプが来ようが、YouTubeに複数アカウントで低評価をつけられようが、別にいいかな…と思ってアンチを放置していましたが、こんなことになるなんて…。
毒マロが来るのはマシュマロを置くのが悪いという言説がありますが、今回のこれも脆弱なシステムを作った私の責任になるんですかね。
みなさんは同人界隈でWebサイトなどを公開するとき、どの程度攻撃されることを想定し、対策していますか。
みんなのコメント
SQLインジェクションは外部から強制的にDBを実行する攻撃手法ですね。
通常、DBを操作する際はSQLというプログラミング言語を用いるのですが、情報の削除など重要なコマンドは、権限のあるDBアカウントでしか実行できません。
が、何も対策をしていないと、問い合わせフォームなどに直にSQLを打ち込まれ、それが実行されてしまいます。
サーバーの機能でバックアップが残っていればそれを復元出来るのではと思うのですがいかがでしょうか?
※DBを使っているということなので、Wordpressを使ってる仮定で話していますが、見当違いだったらこの先の文章は読み飛ばしてください。
私もかつてはW...続きを見る
対策でいえば簡単なものだと
・ログイン画面のURLを変更する
・レンバルサーバのWAF設定を見直す
・プラグインなどは常に最新のものにアップデートする(脆弱性は放置しない)
でしょうか。
少し前だと某料理家のWordPressのサイトが改ざんされたことがネットニュースになりましたが、やはり動的なサイトは改ざんされる危険性も認識しつつ運用されるのがいいかなと思います。もちろん改ざんするほうが悪いのですが…
自サイトはWordpressで作ってるけど、ごく標準的なセキュリティしか入れてないな…プラグインとかサーバ側のセキュリティオプションを設定してるくらいです
仕事で10年くらいWordpressのサイトを多数管理してるけど、どれもプラグインとサーバ側のオプション設定くらいで運営してて、今のところ乗っ取られたことも攻撃をくらったこともないです
一番固くしてるサイトでも、管理画面へのアクセスにIP制限かけてるくらいかな…
バージョンアップやバックアップは定期的にやってるし、攻撃される可能性は常に想定してはいるけども
いまAIで言語の壁が薄くなったから、日本のサイトも頻繁に攻撃対象になっているんだよね
お問い合わせフォーム・検索欄・ログイン欄みたいなところが攻撃の窓口になる
問い合わせフォームだけでも自作CGIや自作PHPフォームは使わないで、GoogleフォームやWaveboxを使うことで回避できたりはするよ
コメントをする