オープンリダイレクト(または未検証のリダイレクトと転送) とは、URL のリダイレクトに関する脆弱性です。攻撃者はこの脆弱性を悪用することで、信頼できるウェブサイトから潜在的に悪質なサードパーティウェブサイトにユーザを誘導し、フィッシング攻撃でユーザのクレデンシャルを盗むことができます。この脆弱性から防御するには、Plesk で URL リダイレクトを禁止するように構成することをお勧めします。

この脆弱性では、success_redirect_url パラメータと failure_redirect_url パラメータを、Plesk への自動ログインをセットアップするために利用します。 success_redirect_url パラメータには、ユーザーがログインに成功した後でリダイレクトされる 1 つ以上のホスト名が含まれ、failure_redirect_url には、ログインに失敗した後やログアウトした後でリダイレクトされる 1 つ以上のホスト名が含まれます。

この脆弱性は、Plesk への自動ログインがセットアップされているか否かを問わず、すべての Plesk サーバに影響を与える可能性があります。防御するには、panel.ini ファイルにエントリを追加する必要があります。実際のエントリは、Plesk への自動ログインがセットアップされているかどうかに応じて異なります。

Plesk への自動ログインをセットアップしていない場合に Plesk をオープンリダイレクトから保護するには:

panel.ini ファイルに以下の行を追加します。

[security]
trustedRedirectHosts =

trustedRedirectHosts 行は空にして、ホスト名を指定しません。これにより、Plesk が success_redirect_url パラメータと failure_redirect_url パラメータを使用していずれかのホストにリダイレクトすることを禁止できます。

Plesk への自動ログインをセットアップしている場合に Plesk をオープンリダイレクトから保護するには:

以下のパターンに従って panel.ini ファイルにエントリを追加します。

[security]
trustedRedirectHosts = hostname

ここで hostname は、success_redirect_url パラメータと failure_redirect_url パラメータ経由での URL リダイレクトを許可する、信頼できるホスト名です。

trustedRedirectHosts の設定には、以下のフォーマットでホスト名を 1 つ指定するか、複数のホスト名をコンマ区切りで指定できます。

  • ドメイン名(例: example.com
  • IP アドレス(例: 192.0.2.1
  • ワイルドカードサブドメイン(例: *.example.com

注釈: trustedRedirectHosts にホスト名を指定するときは、必ずアスタリスク(*)記号を前述のパターン(*.example.com)に従って使用してください。これに従わなければ、サーバの脆弱性が解消されません。たとえば、example.*192.0.2.* といったホスト名は、それぞれ example.maliciouswebsite.com192.0.2.maliciouswebsite.com と一致してしまうため、安全ではありません。

以下は、panel.ini ファイルの有効な trustedRedirectHosts 設定の例です。

[security]
trustedRedirectHosts = example.com,192.0.2.1,*.example.com

ここで example.com192.0.2.1*.example.comsuccess_redirect_url パラメータと failure_redirect_url パラメータで使用されるホスト名です。

注釈: trustedRedirectHosts に複数のホスト名を指定するときは、ホスト名を区切るコンマ(,)の前後にスペース()文字を追加しないでください。追加すると、ホスト名が正しく処理されず、URL リダイレクトが失敗します。