Downloaded 10 times
More Related Content
![[WordCampKyoto2017]レンサバで頑張ってるあなたに捧ぐ](https://cdn.slidesharecdn.com/ss_thumbnails/random-170624041558-thumbnail.jpg?width=640&height=640&fit=bounds)
WordPressセキュリティ対策ど~してる?
- 1.
- 2. 自己紹介 名前 浅井豊彦(1962年生まれ) 仕事 ㈱東海共同印刷制作部&共同ネット事業部・部長 • プロジェクト&プロダクトマネージャー的な役割 • ソースコードは多少読めるけど書くのはムリ! • 個人情報責任者、ライセンス管理、もめごと処理班... コミュニティ ▶WordBench名古屋 • 2010年頃から運営に関与 • Camp、Beach、Fesすべて実行委員 ▶CMS Fun Nagoya • 起案者ですけど、現在小休止中...来年2月に復活? SNS @hikobey_GORI(ほぼ放置)、主にFacebook ブログ GORILOG https://www.gori-log.info/ お気に入り Superfly、ももクロ、麺類、MVNO、最近はPulse CMS
- 3.
- 4. WordPressをめぐるセキュリティ事情 • ネットワークレベルではなくアプリケーションレベル、特にCMSの脆弱性を突いたセ キュリティ攻撃が目立つ。 • クロスサイトスクリプティング(XXL)とSQLインジェクションで半数を占める。 •CMSでも特に普及率の高いWordPress(全世界でのCMSシェア60%超、日本では80% 超)が標的になっている。 • CMSが持つ拡張機能(プラグイン・アドオン)が、その標的になっている(全体の 90%)。 • WordPressの脆弱性報告は毎日3件、月100件くらい報告されている。 • CMS全体としての脆弱性報告は減少傾向にあるが、WordPressは減っていない。 • セキュリティ攻撃の被害に合う企業のうち半数以上(52%)が中小企業。大企業だけの 話ではない。 • 個人情報の漏洩などが起こると、億単位での賠償請求を受ける場合もある。 2015年5月13日 GMOクラウドWEST主催「WordPress等で構築したCMSサイトのセキュリティノウハウセミナー」より https://www.gori-log.info/2015/05/14/gmowest_seminar/
- 5.
- 6.
- 7. セキュリティ対策の階層 階層 対象 専用サーバ共用サーバ アンケート ハード Server機、ルータ、FW...etc OS Linux、Windows...etc ミドルウェア Apach、PHP、FTP、SSH、MySQL...etc アプリケーション WordPress、プラグイン、テーマ...etc その他のCMSも同様 ①②③④ 運用 パスワード管理、ログイン管理、バッ クアップ...etc ⑤⑥⑦⑧⑨⑩ ⑪⑫⑬⑭⑮⑯ ⑰⑱⑲⑳ ? アプリケーション層と運用については自分たちでやるしかない! まずは、自分が責任を持つ範囲は、どこなのかを知っておこう! 診断ツールの守備範囲
- 8. WordPressの侵入対策は脆弱性管理とパスワード管理が中心 WordPressの侵入対策は脆弱性管理とパスワード管理を中心に考えよう http://blog.tokumaru.org/2015/12/wordpress-security.html 2015年のWordPress Advent Calendarの記事。WordCampやBenchでの講演もあり。徳丸浩さん •ソフトウェアの脆弱性を悪用される • 管理ツールの認証を突破される Webサイトへの侵入経路は2種類しかない 対策の核心は2つ • 全てのソフトウェアを最新の状態に保つ • パスワードを強固なものにする
- 9.
- 10. テーマやプラグインは、WordPress公式のものしか利用しない その他の意見 • 基本的に公式のみを使用し、足りないものは自作 • 独自に作成している •オレオレプラグンの使用 • 基本的に公式ディレクトリのものから探すが、そうでないものも自己判断で使用している。 もしくは自作 • 公式では配布されていなくても、作成者と連絡がつけられるものは精査の上使用している。 ソースコードのトレーサビリティ。万人にはオススメしない。
- 11. 使用していないプラグインは「停止」ではなく「削除」している 以外に実施しているところが少ない... 確かに面倒だけれども、やっておいた方がいいような... その他の意見 • WordPress本体は、常に最新版にし ている • projectnamiを使用しているため、 若干遅れている ※Projectnami=Azure SQL DatabaseでWordPressが 動くようにした仕組み
- 12.
- 13.
- 14. 「wp-config.php」のパーミッションを変えてアクセス不可にしている その他の意見 • 知らない • よくわからない勉強中 • わからなくて • wp-config.phpにはデータベースのユーザ名とパスワードが記載されている • パラメーターが記載してあるだけなのでアクセスしても何もおきない • wp-config.php自体に脆弱性があるとは考えられない • 問題になるのは... 1.PHPをインストールしわすれる(テキストファイルと同等) 2.他のPHPプログラムやPHP自体の脆弱性を悪用されて閲覧されてしまう • 特に面倒なことではないので、やっておいた方がいいように思います
- 15.
- 16. データベーステーブルのプレフィックスを、デフォルト値から変更している その他の意見 • 知らない • 実施することはあるが外部からの 攻撃対策ではない •わからなくて • やってもあまり効果はないみたいです(腕のたつ攻撃者には無力) • SQLデータベースinformation_schemaという機能で、テーブル名やデータベース名はわ かってしまうんだそうです。 • プラグインやPHPプログラムを作る場合は「プレースホルダ機能」を使ってSQLイン ジェクション対策を
- 17. デフォルトユーザーの「admin」は削除もしくは変更してある • adminを削除・変更することで攻撃を防げるわけではない • 攻撃者の手間を増やし、攻撃されにくくなるという効果はある •大事なのはパスワード!もう1回いいます、大事なのはパスワード! その他の意見 • よくわからない • わからなくて
- 18.
- 19.
- 20.
- 21.
- 22.
- 23.
- 24.
- 25.
- 26.
- 27.
- 28.
- 29.
- 30. パスワードについて追加で質問 8桁未満 8~12桁 13桁以上 0%77.8% 22.2% ▶桁数 英数字のみ 大文字小文字混在 記号必須 17.2% 44.8% 37.9% ▶文字種 ▶変更頻度 毎月 3ヶ月 半年 1年 なし 3.7% 14.8% 3.7% 7.4% 70.4% 毎月 3ヶ月 半年 1年 なし 0% 9.1% 4.5% 0% 86.4% 制作・管理側 クライアント側 回答27人 回答22人 回答27人 回答29人
- 31. 最後にー個人的なまとめ 1. バックアップやミドルウェアのアップデートをしてくれるサーバ VPSやIaaSなど自由度の高いクラウド選ぶ場合は、それなりの覚悟とスキル必須。 安くてもバックアップのないところは避けたい。バックアップの範囲も確認必要。 WAFが導入できるかどうか、無料SSLとかに対応しているかどうかなども... 2. パスワード管理は徹底する。 最低でも8文字以上、英数字混在、使い回し禁止、辞書にある文字は×、管理者ごとにアカ ウント。メールアドレスをログインIDにするのは有効だと思う。 3.バージョンアップ、パッチの適用は面倒でも必ず行う。 自分で対処できないプログラムは導入すべきではない。 バージョンアップ対応するだけでも、料金はしっかりもらえる関係に。 何がどこに入っているのか、把握できるようにしておくとベスト(面倒ですけど) 4. 付加的な対策は「できる」「続けられる」というのも大事。 なんでもやればよいわけではない。続くかどうかも大事なポイント。 最初は対策したが、面倒になって対策されないサイトができるとかはまずいのでは? 5. まさかのときに頼る人は決めておいた方がいいと思う。 うちのお客様も被害にあったことがある。お客様からFTPアカウントが漏洩したり... うちは困ったときは→WebRepair(ウェブリペア):https://webrepair.jp/