Soumettre la recherche
Mettre en ligne
セキュリティの基本とWordPress
•
0 j'aime
•
331 vues
Endoh Shingo
Suivre
WordPressを利用する際に気をつけたいセキュリティのお話 Shizuoka WordPerss Meetup in 熱海(2020年2月)
Lire moins
Lire la suite
Ingénierie
Signaler
Partager
Signaler
Partager
1 sur 30
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
WordCamp Kansai 2016 ハンズオン- -基本機能をおさらいしよう! WordPress のインストールから
WordCamp Kansai 2016 ハンズオン- -基本機能をおさらいしよう! WordPress のインストールから
Kitani Kimiya
初心者からのWordPressセキュリティ対策
初心者からのWordPressセキュリティ対策
Endoh Shingo
20190917 bydstudy#1 teraoka
20190917 bydstudy#1 teraoka
beyond Co., Ltd.
Vine Linux 6.1「再」入門 (Re-introduction to Vine Linux 6.1)
Vine Linux 6.1「再」入門 (Re-introduction to Vine Linux 6.1)
Munehiro Yamamoto
WordCamp Kansai 2015 発表資料
WordCamp Kansai 2015 発表資料
Masahito Muratake
WordPressにお勧めのレンタルサーバ
WordPressにお勧めのレンタルサーバ
黒岩 堅
2015/06/27 sakuraclub LT @nullpopopo
2015/06/27 sakuraclub LT @nullpopopo
Yasutaka Hamada
20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handson
Six Apart
Recommandé
WordCamp Kansai 2016 ハンズオン- -基本機能をおさらいしよう! WordPress のインストールから
WordCamp Kansai 2016 ハンズオン- -基本機能をおさらいしよう! WordPress のインストールから
Kitani Kimiya
初心者からのWordPressセキュリティ対策
初心者からのWordPressセキュリティ対策
Endoh Shingo
20190917 bydstudy#1 teraoka
20190917 bydstudy#1 teraoka
beyond Co., Ltd.
Vine Linux 6.1「再」入門 (Re-introduction to Vine Linux 6.1)
Vine Linux 6.1「再」入門 (Re-introduction to Vine Linux 6.1)
Munehiro Yamamoto
WordCamp Kansai 2015 発表資料
WordCamp Kansai 2015 発表資料
Masahito Muratake
WordPressにお勧めのレンタルサーバ
WordPressにお勧めのレンタルサーバ
黒岩 堅
2015/06/27 sakuraclub LT @nullpopopo
2015/06/27 sakuraclub LT @nullpopopo
Yasutaka Hamada
20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handson
Six Apart
20160209 power cms_cloud_public
20160209 power cms_cloud_public
Six Apart
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
みんなの知らないネットワークの話
みんなの知らないネットワークの話
Wataru NOGUCHI
20180214 okubo mt_cloud_handson
20180214 okubo mt_cloud_handson
Six Apart
クラウドのようなVPS 「ConoHa」 を使ってみよう +おまけ
クラウドのようなVPS 「ConoHa」 を使ってみよう +おまけ
Hironobu Saitoh
このべん第5回 ConoHaでWordPressのお勉強!
このべん第5回 ConoHaでWordPressのお勉強!
Hironobu Saitoh
Kof2017 シラサギ導入
Kof2017 シラサギ導入
Yu Ito
ネットワーク技術を学ぶ(STP: Spanning Tree Protocol) ~Cisco で学ぶ L2 ネットワークの世界~
ネットワーク技術を学ぶ(STP: Spanning Tree Protocol) ~Cisco で学ぶ L2 ネットワークの世界~
Wataru NOGUCHI
ネットワーク7不思議
ネットワーク7不思議
Wataru NOGUCHI
WordPressとwebサイトの常時ssl化
WordPressとwebサイトの常時ssl化
Endoh Shingo
WordPress on C4SA
WordPress on C4SA
tama200x Kobayashi
平成生まれのための MINIX 講座
平成生まれのための MINIX 講座
TAKANO Mitsuhiro
サイバーセキュリティ勉強会2017 in 塩尻
サイバーセキュリティ勉強会2017 in 塩尻
Shiojiri Ohhara
20161022 mt azure_handson
20161022 mt azure_handson
Six Apart
Cybozu Kintone x WordPress
Cybozu Kintone x WordPress
Takayuki Miyauchi
スタートアップにjoinして安心して眠るためにやった5つのこと
スタートアップにjoinして安心して眠るためにやった5つのこと
Masashi Ogawa
ネットワークシミュレータで手軽にネットワークのお勉強(GNS3編)
ネットワークシミュレータで手軽にネットワークのお勉強(GNS3編)
Wataru NOGUCHI
20150202 Movable Type Seminar
20150202 Movable Type Seminar
Six Apart
「VAddy」ユーザーミートアップ Vol.4
「VAddy」ユーザーミートアップ Vol.4
Kentaro NOMURA
第一回Rest勉強会 ワークショップ
第一回Rest勉強会 ワークショップ
ksimoji
Word camp tokyo2014 わぷーステージ振り返り
Word camp tokyo2014 わぷーステージ振り返り
Sosuke Eguchi
WordPressをVPS/クラウドで利用する際の注意点
WordPressをVPS/クラウドで利用する際の注意点
Endoh Shingo
Contenu connexe
Tendances
20160209 power cms_cloud_public
20160209 power cms_cloud_public
Six Apart
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
みんなの知らないネットワークの話
みんなの知らないネットワークの話
Wataru NOGUCHI
20180214 okubo mt_cloud_handson
20180214 okubo mt_cloud_handson
Six Apart
クラウドのようなVPS 「ConoHa」 を使ってみよう +おまけ
クラウドのようなVPS 「ConoHa」 を使ってみよう +おまけ
Hironobu Saitoh
このべん第5回 ConoHaでWordPressのお勉強!
このべん第5回 ConoHaでWordPressのお勉強!
Hironobu Saitoh
Kof2017 シラサギ導入
Kof2017 シラサギ導入
Yu Ito
ネットワーク技術を学ぶ(STP: Spanning Tree Protocol) ~Cisco で学ぶ L2 ネットワークの世界~
ネットワーク技術を学ぶ(STP: Spanning Tree Protocol) ~Cisco で学ぶ L2 ネットワークの世界~
Wataru NOGUCHI
ネットワーク7不思議
ネットワーク7不思議
Wataru NOGUCHI
WordPressとwebサイトの常時ssl化
WordPressとwebサイトの常時ssl化
Endoh Shingo
WordPress on C4SA
WordPress on C4SA
tama200x Kobayashi
平成生まれのための MINIX 講座
平成生まれのための MINIX 講座
TAKANO Mitsuhiro
サイバーセキュリティ勉強会2017 in 塩尻
サイバーセキュリティ勉強会2017 in 塩尻
Shiojiri Ohhara
20161022 mt azure_handson
20161022 mt azure_handson
Six Apart
Cybozu Kintone x WordPress
Cybozu Kintone x WordPress
Takayuki Miyauchi
スタートアップにjoinして安心して眠るためにやった5つのこと
スタートアップにjoinして安心して眠るためにやった5つのこと
Masashi Ogawa
ネットワークシミュレータで手軽にネットワークのお勉強(GNS3編)
ネットワークシミュレータで手軽にネットワークのお勉強(GNS3編)
Wataru NOGUCHI
20150202 Movable Type Seminar
20150202 Movable Type Seminar
Six Apart
「VAddy」ユーザーミートアップ Vol.4
「VAddy」ユーザーミートアップ Vol.4
Kentaro NOMURA
第一回Rest勉強会 ワークショップ
第一回Rest勉強会 ワークショップ
ksimoji
Tendances
(20)
20160209 power cms_cloud_public
20160209 power cms_cloud_public
20160208 power cms_cloud_public
20160208 power cms_cloud_public
みんなの知らないネットワークの話
みんなの知らないネットワークの話
20180214 okubo mt_cloud_handson
20180214 okubo mt_cloud_handson
クラウドのようなVPS 「ConoHa」 を使ってみよう +おまけ
クラウドのようなVPS 「ConoHa」 を使ってみよう +おまけ
このべん第5回 ConoHaでWordPressのお勉強!
このべん第5回 ConoHaでWordPressのお勉強!
Kof2017 シラサギ導入
Kof2017 シラサギ導入
ネットワーク技術を学ぶ(STP: Spanning Tree Protocol) ~Cisco で学ぶ L2 ネットワークの世界~
ネットワーク技術を学ぶ(STP: Spanning Tree Protocol) ~Cisco で学ぶ L2 ネットワークの世界~
ネットワーク7不思議
ネットワーク7不思議
WordPressとwebサイトの常時ssl化
WordPressとwebサイトの常時ssl化
WordPress on C4SA
WordPress on C4SA
平成生まれのための MINIX 講座
平成生まれのための MINIX 講座
サイバーセキュリティ勉強会2017 in 塩尻
サイバーセキュリティ勉強会2017 in 塩尻
20161022 mt azure_handson
20161022 mt azure_handson
Cybozu Kintone x WordPress
Cybozu Kintone x WordPress
スタートアップにjoinして安心して眠るためにやった5つのこと
スタートアップにjoinして安心して眠るためにやった5つのこと
ネットワークシミュレータで手軽にネットワークのお勉強(GNS3編)
ネットワークシミュレータで手軽にネットワークのお勉強(GNS3編)
20150202 Movable Type Seminar
20150202 Movable Type Seminar
「VAddy」ユーザーミートアップ Vol.4
「VAddy」ユーザーミートアップ Vol.4
第一回Rest勉強会 ワークショップ
第一回Rest勉強会 ワークショップ
Similaire à セキュリティの基本とWordPress
Word camp tokyo2014 わぷーステージ振り返り
Word camp tokyo2014 わぷーステージ振り返り
Sosuke Eguchi
WordPressをVPS/クラウドで利用する際の注意点
WordPressをVPS/クラウドで利用する際の注意点
Endoh Shingo
WordCamp Tokyo 2013 Security
WordCamp Tokyo 2013 Security
Fumito Mizuno
データベースと仲良くなろう
データベースと仲良くなろう
Seiichiro Mishiba
20160430co-edo
20160430co-edo
Chieko Aihara
コードをさわらずにビジネスサイトを作ろう!
コードをさわらずにビジネスサイトを作ろう!
FLOW web planning & design
WordPressの進化とWordPress名古屋コミュニティの進化
WordPressの進化とWordPress名古屋コミュニティの進化
takashi ono
WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪
Kitani Kimiya
Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?
J-Stream Inc.
事業会社で働くエンジニアのマインドセット - DevLOVE関西
事業会社で働くエンジニアのマインドセット - DevLOVE関西
Tomoyuki Sugita
BPStudy#75 スマートWP 裏側のお話からリーンなアプローチまで
BPStudy#75 スマートWP 裏側のお話からリーンなアプローチまで
Hiro Fukami
スタートアップだからこそ使うAWS(第5回JAWS-UG Nagoya)
スタートアップだからこそ使うAWS(第5回JAWS-UG Nagoya)
Tomotsune Murata
初心者でもすぐできる Wordpress バックアップのススメ
初心者でもすぐできる Wordpress バックアップのススメ
Seiichiro Mishiba
WordPress サイト制作におけるデプロイメントを考える ~Git とデプロイメントサービスの活用~
WordPress サイト制作におけるデプロイメントを考える ~Git とデプロイメントサービスの活用~
Toru Miki
「おれおれサービス」に挑戦しよう
「おれおれサービス」に挑戦しよう
Hidekazu Ishikawa
初めてのWebプログラミング講座
初めてのWebプログラミング講座
DIVE INTO CODE Corp.
もう一度基礎から!WordPress勉強会
もう一度基礎から!WordPress勉強会
Yutaro Fuji
DevOpsが引き金となるインフラエンジニアの進撃
DevOpsが引き金となるインフラエンジニアの進撃
Teruo Adachi
Jawsug青森支部の活動紹介
Jawsug青森支部の活動紹介
Takuya Tachibana
.NET Core for Mac users in Azure
.NET Core for Mac users in Azure
Tsukasa Kato
Similaire à セキュリティの基本とWordPress
(20)
Word camp tokyo2014 わぷーステージ振り返り
Word camp tokyo2014 わぷーステージ振り返り
WordPressをVPS/クラウドで利用する際の注意点
WordPressをVPS/クラウドで利用する際の注意点
WordCamp Tokyo 2013 Security
WordCamp Tokyo 2013 Security
データベースと仲良くなろう
データベースと仲良くなろう
20160430co-edo
20160430co-edo
コードをさわらずにビジネスサイトを作ろう!
コードをさわらずにビジネスサイトを作ろう!
WordPressの進化とWordPress名古屋コミュニティの進化
WordPressの進化とWordPress名古屋コミュニティの進化
WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪
Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?
事業会社で働くエンジニアのマインドセット - DevLOVE関西
事業会社で働くエンジニアのマインドセット - DevLOVE関西
BPStudy#75 スマートWP 裏側のお話からリーンなアプローチまで
BPStudy#75 スマートWP 裏側のお話からリーンなアプローチまで
スタートアップだからこそ使うAWS(第5回JAWS-UG Nagoya)
スタートアップだからこそ使うAWS(第5回JAWS-UG Nagoya)
初心者でもすぐできる Wordpress バックアップのススメ
初心者でもすぐできる Wordpress バックアップのススメ
WordPress サイト制作におけるデプロイメントを考える ~Git とデプロイメントサービスの活用~
WordPress サイト制作におけるデプロイメントを考える ~Git とデプロイメントサービスの活用~
「おれおれサービス」に挑戦しよう
「おれおれサービス」に挑戦しよう
初めてのWebプログラミング講座
初めてのWebプログラミング講座
もう一度基礎から!WordPress勉強会
もう一度基礎から!WordPress勉強会
DevOpsが引き金となるインフラエンジニアの進撃
DevOpsが引き金となるインフラエンジニアの進撃
Jawsug青森支部の活動紹介
Jawsug青森支部の活動紹介
.NET Core for Mac users in Azure
.NET Core for Mac users in Azure
Plus de Endoh Shingo
WordPressのサーバーの選び方
WordPressのサーバーの選び方
Endoh Shingo
今さら聞けないWebサーバの基本知識と選び方
今さら聞けないWebサーバの基本知識と選び方
Endoh Shingo
WordPressの簡単だけど大事なお話 〜サーバ編〜
WordPressの簡単だけど大事なお話 〜サーバ編〜
Endoh Shingo
第4回WordBenchしずおか
第4回WordBenchしずおか
Endoh Shingo
WordBench千葉「レベル別Nginx活用法」
WordBench千葉「レベル別Nginx活用法」
Endoh Shingo
WordCafe fuji vol.2
WordCafe fuji vol.2
Endoh Shingo
WordCafe Fuji vol.1
WordCafe Fuji vol.1
Endoh Shingo
Plus de Endoh Shingo
(7)
WordPressのサーバーの選び方
WordPressのサーバーの選び方
今さら聞けないWebサーバの基本知識と選び方
今さら聞けないWebサーバの基本知識と選び方
WordPressの簡単だけど大事なお話 〜サーバ編〜
WordPressの簡単だけど大事なお話 〜サーバ編〜
第4回WordBenchしずおか
第4回WordBenchしずおか
WordBench千葉「レベル別Nginx活用法」
WordBench千葉「レベル別Nginx活用法」
WordCafe fuji vol.2
WordCafe fuji vol.2
WordCafe Fuji vol.1
WordCafe Fuji vol.1
セキュリティの基本とWordPress
1.
セキュリティの基本と WordPress 〜 WordPressを利用するときに気をつけるセキュリティ 〜
2.
Hello!! 株式会社蔵守 フルリモートワーク(静岡県富士宮市在住) Name : 遠藤
進悟(たぬき) contact me at @TanukiCTO (Twitter)
3.
Community!! ● WordCamp Tokyo
2013 ~ 2019 スタッフ ● KUSANAGI静岡ユーザーグループ ● Shizuoka WordPress Meetup 共同オーガナイザー ● OSC浜名湖出展 ● WordPress Contribution History ○ Meetup Organizer ○ WordCamp Organizer ○ WordCamp Speaker ○ Plugin Developer
4.
Works!! ● Webサイト設計・構築 ● WordPress保守 ●
データの移行・引っ越し ● PHPのアップグレード対応(PHP5系→PHP7系) ● VPS/クラウドの設計・構築・保守 ● WordPressサイトの高速化 ● SSL証明書取得・設定・常時HTTPS化 etc...
5.
どんな対策をしているか、思い出してみましょう・・・ WordPressのセキュリティ対 策してますか?
6.
1. セキュリティの基本を知る 2. WordPressでの対策を知る 3.
まとめ
7.
1 WordPressへの攻撃の種類をざっくりと知っておこう セキュリティの基本を知る
8.
特定標的型 明確な意思と目的を持った攻撃者が 特定の組織に対して情報の窃取や削 除のために行う攻撃。 価値の高い個人情報を管理している 組織が狙われることが多い。 一般的なサイバー攻撃のイメージは こっち! 無差別型 不特定多数の対象に対して、機械 的に攻撃を行い、ランサムウェアや フィッシィング誘導などの改ざんや 乗っ取りなどを行う。 WordPressでまず気をつけなけれ ばならないのはこっち! ざっくりとした攻撃の分類
9.
総当たり攻撃 ブルートフォースアタックと も呼ばれる。 機械的にパスワードを片っ 端から試していく方法。 ログイン試行をそれだけ試 されるので、負荷も大きくな る。 リスト型攻撃 他のサービスや別サイトか ら流出した情報を利用した り、 辞書に載っている単語 やよくあるパスワードのリスト を利用したりすることで、ロ グインを試みる方法。 脆弱性を攻撃 WordPress(本体・プラグイ ン・テーマ)やミドルウェア (PHP・Apache)などの勢覚 醒を利用し、侵入や改ざん などを試みる方法。 XSSやSQLインジェクション など。 Slide titleざっくりとした攻撃の種類
10.
サンプルケース わりとよくある事例。 だいたい最初に出てくる情報はこのくらいで、どこから操作されたのか 不明。 何が問題だったのか推測してみよう。 ● WordPressでWebサイトを作って公開していた ● Webサイトが改ざんされる ●
海外のサイトにリダイレクトされてしまう
11.
考えられる原因の例 情報が少なすぎてどんな可能性も考えられる状態。 考えられる攻撃パターンへの対策をしておく必要がある。 だいたいどの運営者も「自分が狙われると思っていなかった」と言う。 ● 管理画面にログインされて書き換えられた? ● プラグインの脆弱性を利用された? ●
別の箇所からファイルを書き換えられた?
12.
「あなた」のWebサイトを狙っている のではなく、 「すべて」のWebサイトを狙っている のです
13.
2 WordPressでの具体的な対策を知っておこう WordPressでの対策を知る
14.
● ユーザー名 admin
を使用しない ● 良いパスワードを使用する ● ログイン試行回数を制限する ● ログインページ(wp-login.php,wp-admin)をアクセス制限する ● ログインURLを変更する ● xmlrpc.phpを無効化する 総当たり攻撃
15.
● 総当たり攻撃の対策全部 ● 他のサイトで使ったIDとパスワードを再利用しない ●
パスワードは意味のない大文字小文字数字を含んだ文字列で ● ログを取り、ブラックリスト(IP、ユーザIDなど)で対策 ● 利用していないアカウントの削除 ● 利用者ごとにユーザーを発行(権限を分ける) リスト型攻撃
16.
● WordPressは常に最新版に ● プラグインやテーマも常に最新版に ●
PHPやその他サーバー環境もできる限りアップデートを行う ● カスタマイズをするときはWordPressの仕組みを利用する ● 更新のなくなったプラグインやテーマは利用しない ● 定期的にプラグインやテーマを見直す ● プラグインをやみくもに増やさない 脆弱性を攻撃
17.
全部入れる必要はありません。 便利なプラグインの紹介
18.
SiteGuard WP Plugin 基本的に必要な対策はこれを入れて設定すれば網羅できる。 ドキュメントも日本語なので、安心。 https://www.jp-secure.com/siteguard_wp_plugin/ https://ja.wordpress.org/plugins/siteguard/ ●
管理画面アクセス制限 ● ログインページ変更 ● 画像認証 etc...
19.
Wordfence Security 中級者〜上級者向け できることも多くログ取得で制限をかけたり、セキュリティスキャンをかけ るともできる。 https://ja.wordpress.org/plugins/wordfence/ ● 管理画面アクセス制限 ●
2要素認証 ● ログ取得・ブラックリスト管理 etc...
20.
他にも… サーバ側で対応できるものもあるため、機能ごとにプラグインを導入す ると、必要ないリソースを読み込むことがなくなる。 ● WP Limit
Login Attempts (ログイン試行制限) ● Google Authenticator (2要素認証) ● WPScan (脆弱性チェック)
21.
改ざんされたWordPressサイトを修復するま での流れをみてみよう 修復への道
22.
Step 1. 隔離環境を作る Step
2. すべてのデータのチェック・修正 Step 3. 元データを削除し、修正データで再公開
23.
Webサイトの公開を停止する。 データは改ざんされたものを利用するため、外への通信がされないよう に隔離されている環境を構築する。 ローカル環境で行う場合、バックドアにより外部への通信がされてしまう 可能性があるので、意図的にネットワークを遮断する。 仮想環境で行う場合、ローカルのみと通信が可能なように設定を行う。 ① 隔離された環境構築
24.
データベース WordPressの投稿・設定・ カスタマイザーのデータは データベースで管理されて いるため、不明なURLや画 像の読み込みを一括で削 除する必要がある。 目視確認も必要。 テーマ・プラグイン テーマやプラグインが書き 換えられている可能性もあ るため、すべて最新の公開 版に変更する。 オリジナルのものに関して は、目視やツールで不明な プログラムや読み込みが行 われていないかのチェック を行う。 その他のプログラム WordPress本体や、別途プ ログラムがある場合もチェッ クを行う。 WordPressの場合は、最新 版に置き換えることで対応 可能だが、オリジナルプログ ラムの場合は、別途ツール や目視での確認・修正が必 要。 Slide title② データのチェック・修正
25.
公開環境にあるデータの全削除をおこない、修正したもので再構築す る。 すべての環境を新しいものに刷新する必要あり。 パスワードやIDの変更はもちろんのこと、運営計画の見直しや、保守管 理の導入など、運用面での変更も必要。 これだけやっても、元に戻らないこともある。 何より、ユーザーの信用・信頼は戻らない ③ 再公開
26.
何かが起こってしまってからでは遅 い! 起こる前の予防策が大事!
27.
3 大事なこと、要点のまとめ まとめ
28.
まとめ ● まずは知る ● すべてのWebサイトが機械的に狙われている ●
常に攻撃されているという意識で運用・対策する ● 改ざんからの修正は容易ではない ● 信用・信頼の喪失はそのまま自分に降りかかる ● 運用者も制作者もセキュリティの意識をもっと
29.
まとめとは違うアドバイス ● 世のWeb制作会社のWordPressのスキルの差が開いて いっている ● アップデートサポートはしてもらったほうがいい ●
Webサイトが見れなくなるより改ざんのほうが怖い ● 改ざんからの修正は工数がすっごいので、リニューアルし たほうが安くなる場合のほうが多い
30.
Thanks!! contact me at
@TanukiCTO
Télécharger maintenant