By: Joe TO MUSEUMEND SHOW PRESS TO TURN ON LIGHTS PRESS TO OPEN ELEVATOR.
Word press セキュリティ show!!
22
WordPress セキュリティ Show !! WordPress のセキュリティ対策って ホンマでっか? ネタ振り編
-
Upload
yoshinori-matsumoto -
Category
Technology
-
view
6.747 -
download
1
Transcript of Word press セキュリティ show!!
WordPressセキュリティ Show !!
WordPress のセキュリティ対策ってホンマでっか?
ネタ振り編
アジェンダ
いろいろ言われてますが、「WordPressのセキュリティ」って今どうなってるの???というために。。。
最近の WordPress で起こっているセキュリティ事象や対策などを紹介
● はじめに● 最近のセキュリティ事例● 脆弱性がつくりこまれる原因と対策
はじめに
WordPress って
危ないから
Movaxx Type でいいやん
ドヤァ
とか 言われてますが。。。
はじめに
WordPressやMovable Typeの古いバージョンを利用しているウェブサイトへの注意喚起
https://www.ipa.go.jp/security/topics/alert20130913.html
はじめに
WordPressが危ないと呼ばれているのは?
止まらない脆弱性報告 気軽につくってしまうバグ サードパーティのテーマ・プラグイン
WordPressサイトを標的とした攻撃
危ないのはWordPressだけではなく他のCMSも同じでは?
WordPressを使わないという選択よりも
正しく使うことが重要
最近のセキュリティ事例
Hacked by Krad Xin
最近のセキュリティ事例
2013年8月「ロリポップ!レンタルサーバ」で大規模な改ざん事件が発生
公式発表によると対象となるサイトは 8,438 件サーバ運営側のパーミッションの設定不備によりデータベースへ侵入される
脆弱性が作りこまれる原因
開発上の問題
=> テーマ・プラグインの開発時のミス
=> 古いバージョンを使い続ける
運用上の問題
=> 管理画面の設定不備
=> ユーザ権限の設定不備
テーマ・プラグインの問題
使用しているサードパーティ製またはオリジナルのテーマ・プラグインにある脆弱性を使用してしまう
● 有料プラグイン=安全?● 公式プラグイン=安全?● テスト済み納品物=安全?
Webアプリの脆弱性対策がされているか。
テーマ・プラグインの脆弱性
よく使用される脆弱性
● XSS -> 攻撃者がJavaScriptを実行する● SQL インジェクション -> 攻撃者がSQLクエリを
実行する● CSRF -> 攻撃者がユーザにログイン後の操作
を強制的に行わせる
テーマ・プラグインの脆弱性
対策
● Webアプリケーションなどと同様、セキュリティ対策を行う
● WordPress で用意されているセキュリティ機能も使用する(esc_htmlなど)
● 規模や保持しているデータの機密性に応じてセキュリティチェックを受ける
Ref: IPA 安全な Web アプリケーションの作り方
https://www.ipa.go.jp/security/vuln/websecurity.html
古いバージョンを使い続ける
旧バージョンで脆弱性が報告されているバージョンを使用することにより、これらの脆弱性が狙われる
中には脆弱性を使用した攻撃コード(実証コード)が公開されているものや、攻撃者内で出回っているものがある。
古いバージョンを使い続ける
古いバージョンや、既知の脆弱性が記載されているサイト
● WordPress リリースノート● 更新がされていないプラグインの警告画面● JVNなどのポータルサイト
古いバージョンを使い続ける
対策
● WordPress、プラグイン、テーマなどの更新を必ず行う
● 自動アップデート機能も活用する
管理画面の設定不備
WordPress ではログインページの URL が固定であるため、ログイン画面が狙われる場合がある
「http://(任意のドメイン)/wp-admin」にアクセスすると、多くのサイトにおいて WordPress のログイン画面が表示される
管理画面の設定不備
対策
● ユーザ名を「admin」に固定してのパスワードの攻撃が行われる
● Google で 「inurl:wp-admin site:co.jp」などと検索するとログイン画面が公開しているページ情報を取得できる
管理画面の設定不備
対策
● 管理画面はSSL通信を必須にする● BASIC認証などアクセス制限をする● IPアドレスを制限する● ログインのログを記録しておく
ユーザ権限の設定不備
WordPress のユーザ権限が正しく設定されているか。
管理者権限があれば、任意のプラグインの適用・PHPのコード実行などサイトそのものの変更が可能になる
ユーザ権限の設定不備
管理者権限でできること
● テーマの変更● プラグインの有効/無効化● ユーザの編集● データのインポート・エクスポート● 新規投稿、投稿内容の編集● サイト情報の編集Ref: Roles and Capabilities http://codex.wordpress.org/Roles_and_Capabilities要は何でもできちゃいますね ^^;
ユーザ権限の設定不備
対策
● ユーザの見直し
(人数、権限、管理など)
まとめ
WordPressが危険ではなく、セキュリティ対策をしないまま開発・運用は危険です!!
本発表では、有効とされるセキュリティ対策の紹介しました。果たして、これらの方法は実用的なのか!?現場では?
つづきは ディスカッションへ!!
