Contenu connexe Similaire à OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書) (20) Plus de OWASP Nagoya (16) OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)2. • 西村 将利(にしむら まさとし)
• facebook: https://www.facebook.com/nishimura.masatoshi.3
• twitter : @BankKeikei55
– WordPress
– AWS , Azure
– kintone
– OWASP Nagoya
2
自己紹介
6. 6
1.各種アカウント
WordPress4.7.1 WordPress4.9.4
WordPress
ユーザー admin owaspnagoya494
パスワード password
「強力」判定のものを使
用する
DBテーブル接頭辞 wp_ owasp758_
MariaDB
(MySQL)
DB名 wordpress471 wordpress
DBユーザー名 owaspnagoya owaspnagoya
DBパスワード owasp758 owasp758
Linux CentOS7
ホスト 192.168.100.100
ユーザー名 owaspnagoya
パスワード owasp758
ハンズオン向けの設定値です。実際の運用では、鍵認証
・2要素認証・アカウント漏洩対策を行ってください
8. 8
2.Linux内ローカルディレクトリ配置
Linux内部パス URL
ドキュメントルート /var/www/html http://192.168.100.100
WordPress本体
やプラグイン等
原本ファイルデ
ィレクトリ
4.7.1 /home/owaspnagoya/downloadfile471
4.9.4 /home/owaspnagoya/downloadfile
WordPress4.7.1 /var/www/html/wordpress471 http://192.168.100.100/wordpress471
WordPress4.9.4 /var/www/html/wordpress494 http://192.168.100.100/wordpress494
ローカルの隔離環境で実施しているため、ダウンロードOVAの中に各種ファイルを準備しています
10. $ pwd
/home/owaspnagoya/wpscan/
$ cd /home/owaspnagoya/downloadfile
$ sudo cp wordpress-4.9.4-ja.tar.gz /var/www/html/
10
3.WordPress4.9.4インストール設定1
TeraTerm(Windows)やターミナル(Mac)で以下のコマンドを実行し、tar.gzを移動します
ダウンロード済のwordpress-4.9.4-ja.tar.gzを利用
パスワード owasp758 を半角英数小文字で入力します ※パスワードは入力しても表示されません
54. 54
6.ブルートフォースアタック対策7
①Get the API Keysより、Googleにログ
インしてSite KeyとSecret Keyを発行し
ます
②「Site Key」を入力します
③「Secret Key」を入力します
④「Save Changes」をクリックします
※各種キー取得画面は次のページにて参
照ください
55. 55
6.ブルートフォースアタック対策8
Get the API Keysをクリック後、Googleにログイン
します
①「Label」にSite KeyとSecret Key発行に対して使
用する任意の名称を入力します
本資料は「OWASP Nagoya Wordpress494」とし
ています
②「reCAPTCHA V2」にチェックします
③「192.168.100.100」を入力します
※「192.168.100.100/wordpress494」は入力受
理されない様になっています
④「Accept the reCAPTCHA Terms of Service」を
チェックします
⑤「Register」をクリックします
59. 59
7.セキュリティプラグイン設定1
iThemes Security (formerly Better WP Security)プラグイン
以下のコマンドにて、iThemes Securityプラグインをワードプレスに設定します
$ cd /var/www/html/wordpress494/wp-content/plugins
$ sudo cp /home/owaspnagoya/downloadfile/better-wp-security.6.9.2.zip ./
対象ファイルの展開と削除します
$ sudo unzip better-wp-security.6.9.2.zip
$ sudo rm better-wp-security.6.9.2.zip
61. 61
7.セキュリティプラグイン設定3
iThemes Security (formerly Better WP Security)プラグイン翻訳ファイル
以下のコマンドにて、iThemes Securityプラグインの翻訳ファイルをワードプレスに設定
※Virtualboxのホストオンリーアダプタ―特有の設定です。NAT相当のネットワークアダプタが
使える環境では、プラグインの有効化と同時に自動的に日本語化されています
$ cd /var/www/html/wordpress494/wp-content/languages/plugins
$ sudo cp /home/owaspnagoya/downloadfile/better-wp-security-ja.mo ./
$ sudo cp /home/owaspnagoya/downloadfile/better-wp-security-ja.po ./