ドメイン追加によるセキュリティー問題

マルチドメイン仕様のレンタル・サーバーのアカウントに基本ドメイン以外のドメインを普通に追加すると、セキュリティーが低下します。これを回避する方法を書いておきます。

問題はabc.comを基本ドメインとするアカウントにdef.comを追加した場合です。cPanelの仕様で普通に追加すると下記の様な構造になります。

public_html/def.com/

これだと下記アドレスで追加ドメインdef.comにアクセスできます。

abc.com/def.com

def/abc.com

※上のdefはcPanelが自動で生成したsubdomainです。

そこでこれを回避する方法をこちらの記事の末尾に書きましたが、それでも・・・

def/abc.com

・・・でアクセスできます。

これを回避するには、下記コードを.htaccessに書いて、追加ドメインのdocument rootに設置します。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} def.abc.com$
RewriteRule ^(.*)$ “http://abc.com/404” [R=301,L]
</IfModule>

少なくとも、cPanelのアカウントの場合は、これで404が表示されるので、大丈夫です。他の場合は、サーバーの設定により違ってくる可能性があります。

飛ばす先で一番いいのは、そのサーバー会社指定の404のページです。あくまでもそう言うのがあればの話ですが・・・。まあ、大抵はあります。

例えば、Hawk Hostであれば、下記のコードでHawk Host指定の404に飛びます。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} def.abc.com$
RewriteRule ^(.*)$ “http://def.abc.com/cgi-sys/defaultwebpage.cgi”
</IfModule>

上記コードで飛ぶ先はHawk Hostが指定しているcPanelの下の404になります。

こういうのはおもしろいので、あちこちでやってみたくなりますが、まあ、滅多にお見せできないので、ただの暇つぶしにしかならないでしょう。

もしこんなのは面倒くさいと思ったら、cPanelのsubdomainをランダムな文字列で登録することです。但し、その代わりAwstatsを見るのが面倒になります。

他にはDNSで飛ぶ先を別のIPアドレスにして、別のものを見せるのも手です。これには、ループバック・アドレスが最適です。具体的には、「127.0.0.1」です。cPanelでは「Zone Editor」で該当するサブドメインのところのAレコードをこれに変えてやります。そうすると、サーバーが見つからないというメッセージが表示されます。

ほとんどいたずらですね(笑)。

関連ページ
cPanelでドメインを追加する方法/subdomainとは何か
Why is an addon domain connected to a subdomain? (Namecheap.com)