WordPress 高速化チャレンジ W3 Total Cache(失敗)

WordPressサイトのレスポンスが悪い状態です。管理サイトも同様に応答が遅いです。ググってみるとWordPressは一概にパフォーマンス問題が問題になるようで、様々な対策があるようです。

色々な見解があるみたいですが、WordPressのパフォーマンスが悪い原因は、そもそも日本語に関するPHP処理部分が弱い、プラグインの多さが悪影響等らしいです。

そこで、対策として「W3 Total Cache」と「MO Cache」を試してみる事にしました。 Continue reading

EC2で固定IPアドレス(Elastic IP)を設定

EC2は、デフォルトで、Private IP アドレスとPrivateホスト名(Public DNS)、Public IPアドレスとPublicホスト名(Private DNS)を持っているが、それぞれ動的に設定されている。DNS名は以下のように一定の命名ルールがある。

Private IP Address DHCP
Private DNS domU-**-**-**-**-**.compute-1.internal
Public IP Address DHCP
Public DNS ec2-**-**-**-**.compute-1.amazonaws.com

よって、EC2インスタンスを再起動した際には、IPアドレスが変わってしまう可能性がある。

EC2インスタンス上で、サービスを外部公開している場合(たとえば、WebサーバをFQDN名で公開運用している場合など)は、固定のIPアドレスを使えるようにするため、Elastic IP アドレスを申し込める。 Continue reading

ClickJacking 対策

OWASP ZAP(Zed Attack Proxy)でペネトレーションテストを行ったWebサイトにて、以下のアラートが検出された。

アラート X-Frame-Options header not set
Risk Informational
Reliablity Warning
Description X-Frame-Options header is not included in the HTTP response to protect against ‘ClickJacking’ attacks
Solution Most modern Web browsers support the X-Frame-Options HTTP header, ensure it’s set on all web pages returned by your site (if you expect the page to be framed only by pages on your server (e.g. it’s part of a FRAMESET) then you’ll want to use SAMEORIGIN, otherwise if you never expect the page to be framed, you should use DENY.
Reference http://blogs.msdn.com/b/ieinternals/archive/2010/03/30/combating-clickjacking-with-x-frame-options.aspx?Redirected=true

Continue reading

X-Content-Type-Options 「nosniff」 対策

OWASP ZAP(Zed Attack Proxy)でペネトレーションテストを行ったWebサイトにて、以下のアラートが検出された。

アラート X-Content-Type-Options header missing
Risk Low
Reliability Warning
Description The Anti-MIME-Sniffing header X-Content-Type-Options was not set to ‘nosniff’
Solution This check is specific to Internet Explorer 8 and Google Chrome. Ensure each page sets a Content-Type header and the X-CONTENT-TYPE-OPTIONS if the Content-Type header is unknown

リスクは「Low」らしいが、かなりの数で検出されてしまい煩わしいので対策を行う事にした。 Continue reading