WordPressを利用する際に気をつけたいセキュリティのお話 Shizuoka WordPerss Meetup in 熱海（2020年2月）

1. セキュリティの基本と
WordPress
〜 WordPressを利用するときに気をつけるセキュリティ 〜

2. Hello!!
株式会社蔵守
フルリモートワーク（静岡県富士宮市在住）
Name : 遠藤 進悟（たぬき）
contact me at @TanukiCTO （Twitter）

3. Community!!
● WordCamp Tokyo 2013 ~ 2019 スタッフ
● KUSANAGI静岡ユーザーグループ
● Shizuoka WordPress Meetup 共同オーガナイザー
● OSC浜名湖出展
● WordPress Contribution History
○ Meetup Organizer
○ WordCamp Organizer
○ WordCamp Speaker
○ Plugin Developer

4. Works!!
● Webサイト設計・構築
● WordPress保守
● データの移行・引っ越し
● PHPのアップグレード対応（PHP5系→PHP7系）
● VPS/クラウドの設計・構築・保守
● WordPressサイトの高速化
● SSL証明書取得・設定・常時HTTPS化
etc...

5. どんな対策をしているか、思い出してみましょう・・・
WordPressのセキュリティ対
策してますか？

6. 1. セキュリティの基本を知る
2. WordPressでの対策を知る
3. まとめ

7. 1
WordPressへの攻撃の種類をざっくりと知っておこう
セキュリティの基本を知る

8. 特定標的型
明確な意思と目的を持った攻撃者が
特定の組織に対して情報の窃取や削
除のために行う攻撃。
価値の高い個人情報を管理している
組織が狙われることが多い。
一般的なサイバー攻撃のイメージは
こっち！
無差別型
不特定多数の対象に対して、機械
的に攻撃を行い、ランサムウェアや
フィッシィング誘導などの改ざんや
乗っ取りなどを行う。
WordPressでまず気をつけなけれ
ばならないのはこっち！
ざっくりとした攻撃の分類

9. 総当たり攻撃
ブルートフォースアタックと
も呼ばれる。
機械的にパスワードを片っ
端から試していく方法。
ログイン試行をそれだけ試
されるので、負荷も大きくな
る。
リスト型攻撃
他のサービスや別サイトか
ら流出した情報を利用した
り、 辞書に載っている単語
やよくあるパスワードのリスト
を利用したりすることで、ロ
グインを試みる方法。
脆弱性を攻撃
WordPress（本体・プラグイ
ン・テーマ）やミドルウェア
（PHP・Apache）などの勢覚
醒を利用し、侵入や改ざん
などを試みる方法。
XSSやSQLインジェクション
など。
Slide titleざっくりとした攻撃の種類

10. サンプルケース
わりとよくある事例。
だいたい最初に出てくる情報はこのくらいで、どこから操作されたのか
不明。
何が問題だったのか推測してみよう。
● WordPressでWebサイトを作って公開していた
● Webサイトが改ざんされる
● 海外のサイトにリダイレクトされてしまう

11. 考えられる原因の例
情報が少なすぎてどんな可能性も考えられる状態。
考えられる攻撃パターンへの対策をしておく必要がある。
だいたいどの運営者も「自分が狙われると思っていなかった」と言う。
● 管理画面にログインされて書き換えられた？
● プラグインの脆弱性を利用された？
● 別の箇所からファイルを書き換えられた？

12. 「あなた」のWebサイトを狙っている
のではなく、
「すべて」のWebサイトを狙っている
のです

13. 2
WordPressでの具体的な対策を知っておこう
WordPressでの対策を知る

14. ● ユーザー名 admin を使用しない
● 良いパスワードを使用する
● ログイン試行回数を制限する
● ログインページ（wp-login.php,wp-admin）をアクセス制限する
● ログインURLを変更する
● xmlrpc.phpを無効化する
総当たり攻撃

15. ● 総当たり攻撃の対策全部
● 他のサイトで使ったIDとパスワードを再利用しない
● パスワードは意味のない大文字小文字数字を含んだ文字列で
● ログを取り、ブラックリスト（IP、ユーザIDなど）で対策
● 利用していないアカウントの削除
● 利用者ごとにユーザーを発行（権限を分ける）
リスト型攻撃

16. ● WordPressは常に最新版に
● プラグインやテーマも常に最新版に
● PHPやその他サーバー環境もできる限りアップデートを行う
● カスタマイズをするときはWordPressの仕組みを利用する
● 更新のなくなったプラグインやテーマは利用しない
● 定期的にプラグインやテーマを見直す
● プラグインをやみくもに増やさない
脆弱性を攻撃

17. 全部入れる必要はありません。
便利なプラグインの紹介

18. SiteGuard WP Plugin
基本的に必要な対策はこれを入れて設定すれば網羅できる。
ドキュメントも日本語なので、安心。
https://www.jp-secure.com/siteguard_wp_plugin/
https://ja.wordpress.org/plugins/siteguard/
● 管理画面アクセス制限
● ログインページ変更
● 画像認証 etc...

19. Wordfence Security
中級者〜上級者向け
できることも多くログ取得で制限をかけたり、セキュリティスキャンをかけ
るともできる。
https://ja.wordpress.org/plugins/wordfence/
● 管理画面アクセス制限
● 2要素認証
● ログ取得・ブラックリスト管理 etc...

20. 他にも…
サーバ側で対応できるものもあるため、機能ごとにプラグインを導入す
ると、必要ないリソースを読み込むことがなくなる。
● WP Limit Login Attempts （ログイン試行制限）
● Google Authenticator （2要素認証）
● WPScan （脆弱性チェック）

21. 改ざんされたWordPressサイトを修復するま
での流れをみてみよう
修復への道

22. Step 1. 隔離環境を作る
Step 2. すべてのデータのチェック・修正
Step 3. 元データを削除し、修正データで再公開

23. Webサイトの公開を停止する。
データは改ざんされたものを利用するため、外への通信がされないよう
に隔離されている環境を構築する。
ローカル環境で行う場合、バックドアにより外部への通信がされてしまう
可能性があるので、意図的にネットワークを遮断する。
仮想環境で行う場合、ローカルのみと通信が可能なように設定を行う。
① 隔離された環境構築

24. データベース
WordPressの投稿・設定・
カスタマイザーのデータは
データベースで管理されて
いるため、不明なURLや画
像の読み込みを一括で削
除する必要がある。
目視確認も必要。
テーマ・プラグイン
テーマやプラグインが書き
換えられている可能性もあ
るため、すべて最新の公開
版に変更する。
オリジナルのものに関して
は、目視やツールで不明な
プログラムや読み込みが行
われていないかのチェック
を行う。
その他のプログラム
WordPress本体や、別途プ
ログラムがある場合もチェッ
クを行う。
WordPressの場合は、最新
版に置き換えることで対応
可能だが、オリジナルプログ
ラムの場合は、別途ツール
や目視での確認・修正が必
要。
Slide title② データのチェック・修正

25. 公開環境にあるデータの全削除をおこない、修正したもので再構築す
る。
すべての環境を新しいものに刷新する必要あり。
パスワードやIDの変更はもちろんのこと、運営計画の見直しや、保守管
理の導入など、運用面での変更も必要。
これだけやっても、元に戻らないこともある。
何より、ユーザーの信用・信頼は戻らない
③ 再公開

26. 何かが起こってしまってからでは遅
い！
起こる前の予防策が大事！

27. 3
大事なこと、要点のまとめ
まとめ

28. まとめ
● まずは知る
● すべてのWebサイトが機械的に狙われている
● 常に攻撃されているという意識で運用・対策する
● 改ざんからの修正は容易ではない
● 信用・信頼の喪失はそのまま自分に降りかかる
● 運用者も制作者もセキュリティの意識をもっと

29. まとめとは違うアドバイス
● 世のWeb制作会社のWordPressのスキルの差が開いて
いっている
● アップデートサポートはしてもらったほうがいい
● Webサイトが見れなくなるより改ざんのほうが怖い
● 改ざんからの修正は工数がすっごいので、リニューアルし
たほうが安くなる場合のほうが多い

30. Thanks!!
contact me at @TanukiCTO