WordPress セキュリティを考える回、資料。 WordPress のログインの仕組み、二段階認証。ログイン判定クッキーとソルト。

1. WordPress セキュリティを考
える会
水野史土
レスキューワーク株式会社
http://www.rescuework.jp/

2. 自己紹介
WordPress 日本語化チーム
フォーラムの常連回答者
Novius OS のコントリビュータ

3. WordPress のログインの仕組み
ログイン URL へアクセス
● ユーザー名
● パスワード
を入力する

4. 二段階認証(Google Authenticator)
● ユーザー名
● パスワード
＋
Google Authenticator
code を入力
http://wordpress.
org/plugins/google-
authenticator/

5. 二段階認証の例
ログイン時(または直前)に、
携帯端末やメールアドレスに、
一定時間のみ有効なパスワードを送る
送信されたパスワードを入力しないと、
ログインできない

6. 二段階認証にすると
ログインにパスワードと二段階認証が必要
パスワードを盗まれても(推測されても)、
アカウント乗っ取りを防げる

7. WordPress の認証チェック処理
ログイン
URL
ログイン
状態
ID、パスワードを入力
＝＞ログイン

8. 二段階認証を導入
ログイン
URL
ログイン
状態
ID、パスワード
に加えて
認証コードが必要
追加の認証

9. ログインログ／アカウントロック
ログインログ
Crazy Bone、Login Alert Notification 等
=> ログインURL へのアクセス、またはログイン試
行結果を記録する
アカウントロック
Simple Login Lockdown 等
=> ログイン失敗が一定数を超えると、そのアカウ
ント(あるいは端末)でログイン不可にする

10. ログインログ／アカウントロック
ログイン
URL
ログイン
状態
ログ取得

11. ログイン状態の保持
WordPress では、クッキーを使用
特定のキー／値のクッキーがある
=> ログインしていると判定される
クッキー生成にソルトを利用

12. クッキーでのログイン処理
トップペー
ジ等
ログイン
状態
クッキーがある
＝＞ログイン

13. クッキーと二段階認証
Google Authenticator の場合
● ログイン URL に認証を追加する
● トップページ等では追加していない
● クッキーのチェックは二段階認証ではない

14. クッキーを偽造する不正ログイン
WordPress では、クッキーを偽造する方法で
不正ログインが可能
● ログイン ID
● パスワード
● ソルト (wp-config.php の情報)

15. デモ
クッキー偽造による不正ログイン