Vulnerability Report(脆弱性レポート)は世界のセキュリティ研究者やホワイトハッカーがインターネット上にあるWebサイトの脆弱性を見つけ管理者に教えてくれる仕組みで、大変有用な仕組みです。
私もこのレポートのおかげで下記の様な脆弱性を指摘され大変勉強になりました。
①WordPressの REST API が誰からも利用される状態になっています。
/wp-admin 以外に /wp-json でWordPressにアクセスする機能です。
②貴方のサイトのアクセスに脆弱性があるTLS v1.0とTSL v1.2がまだ使われています。
推奨されていないTSLを利用した古いブラウザからのアクセスがあり危険だという連絡です。
Vulnerability Reportを受け取る為には管理者のメールアドレス等を記載したsecurity.txtをWebサイトのルートディレクトリに設置する必要があります。
しかしCloudflareは上記ではなく、登録したドメインやサブドメインに共通のsecurity.txtを定義する事ができます。これにより個別の設定が不要になります。
1.Cloudflareのsecurity.txtの設定方法
1.Cloudflareダッシュボードにログイン
Cloudflareダッシュボードにアクセスし、アカウントにログインします。
2.該当のドメインを選択
ログイン後、管理したいドメインを選択します。
3.セキュリティに移動
ダッシュボードの左側にあるメニューから「セキュリティ」セクションを選択します。
ここで、セキュリティに関する設定を変更できます。
4.設定に移動
ダッシュボードの左側にあるメニューから「セキュリティ」の「設定」セクションを選択します。
ここで、セキュリティに関する設定を変更できます。
5.Security.txtの設定
画面の中の[Security.txtを有効にする]をONにすると下記の入力項目が表示されます。
| 入力項目 | 入力値 | 備考 |
| 連絡先 (必要) | mailto:管理者のメールアドレス | メールの場合は[mailto:]の後に管理者のメールアドレスを記述します。メール以外に電話番号やURLでも指定できます。 |
| 期限切れ (必須) | 右にあるカレンダから有効期限を選択します。 | 1年での更新が推奨されています。
毎年年始めに更新するする設定が良いと思います。 |
| 優先言語 | ja,en | 日本語と英語で連絡して欲しいとの設定です。
日本にも指摘をしてくれる人達が沢山いる様です。 |
| その他の項目 | その他の項目はオプションです。 | |
保存をすると設定が確定されます。
6.確認
下記のURLでアクセスすると security.txt の中身が確認できます。
https://example.com/.well-known/security.txt
上記はドメインをexample.comにした例です
Cloudflareに登録したドメインやサブドメインで上記をアクセスし確認して下さい。
2.セキュリティリスクを報告してくれる人々
ChatGPTによるとセキュリティリスクを報告してくれる人達には下記があるようです。
1.ホワイトハッカー (セキュリティ研究者)
セキュリティの脆弱性を見つけることを専門とする個人やチーム。
2.セキュリティコンサルタント会社
サイバーセキュリティの専門知識を持つプロフェッショナル企業。
3.バグハンティングプラットフォーム
HackerOne や Bugcrowd など、バグハンターが脆弱性を報告できるプラットフォーム。
4.インシデント対応チーム (CSIRT/PSIRT)
企業や政府機関、教育機関内のサイバーセキュリティ専門チーム。
5.一般的なITエンジニアや開発者
サイトやサービスを利用している間に偶然脆弱性を発見した人。
6.悪意のない第三者 (好意的な利用者)
たまたま問題を見つけた一般ユーザー
