細かい脆弱性対応をしたお話

セキュリティスキャンを実施したとあるサイトの脆弱性対応について記録を残しておきます。

load-scripts.php

WordPressのload-scripts.phpというファイルがあります。

cssやjsを複数ファイルまとめてロードしてくれる便利なやつらしいです。

ただ大量のファイルをまとめてロードすることが可能になっていて、DoS攻撃の対象になってしまうそうです。

なんとも危険なファイルですね。

結構前からあるのですがWordPress側は脆弱性と捉えていないらしく、サーバ側で対応しなさいというスタンスのようでございます。

仕様としてこれでいいのかって感じはしますがどうなのでしょうか。

気になる人は独自で対応してくださいね、って感じですね。

NGINXではconfに下記のように記述して対策が可能です。

location ~* /wp-admin/load-(scripts|styles)\.php*$ {
    return 404;
}

プラグインが関連していると面倒くさくなるけど、とりあえずこれでスキャンにはひっかからなくなるかと思います。

Cookieセキュア属性

Cookieにセキュア属性を追加しろとのことです。

ここらへん参考。

SameSite cookies explained  |  Articles  |  web.dev

Learn how to mark your cookies for first-party and third-party usage with the SameSite attribute. You can enhance your site's security by using SameSite&#39...

web.dev

NGINXのconfに下記を追記。

proxy_cookie_path / "/; HTTPOnly; secure; SameSite=none";
add_header Set-Cookie "SameSite=None; Secure; HTTPOnly";

ヘッダーに出力されていればOK、だと思います。

セキュリティに厳しい世の中になってきました。

これで解決してくれればいいのですが、どうなることやらです。