Wordpress secure
-
Upload
shinji-horiguchi -
Category
Documents
-
view
1.754 -
download
1
description
Transcript of Wordpress secure
PHP サービスを狙ったワームが増えてます
2012/03/09 Shinji Horiguchi
ワームて? みみず、ヘビ、ムカデみたいな虫?
画像検索注意!
ウィルスみたいなもの
ウィルスは利用者がヘマこくと感染する
ワームはセキュリティホールを狙う
利用者が何もしなくても感染する
むしろ、セキュリティホールは日々見つかるため、何もしなかったらそのうち必ず感染する
PHPアプリ界隈では 利用者の意識が比較的低い
リテラシーが低いともいう
PHP プログラムは簡単に実行できる
アップローダなどで PHP をアップする
Wordpress のテーマやプラグインに仕込む
phpMyAdmin などを狙う
パーミッションの設定など無くても動く
他の CGI は割と手動で設定が必要
最近増えてます。 国内からワームらしいアクセスが多いです。
感染者が多い証拠
感染者も気づいていない
とくに phpMyAdmin を狙ったワームがすごく増えました。
昔から狙い撃ちされやすい
phpMyAdmin に初心者の傾向
感染してしまうと… サーバのデータを改変、削除されてしまう
他へ感染を広げようとしてしまう
DDoS に利用されてしまう
最近の例だと名古屋市役所のサイト
一台ではできなくても、感染したサーバを多数利用すればできてしまう
もしかしたら急におまわりさんが来て任意同行されるかも
適当に設置してませんか? MySQL のユーザ作るときの権限
php スクリプトの置き場所
他人に使わせるときにテーマ編集できてしまったり
HTTPS でないのに自宅外からログインしたり
あんまり使わない phpMyAdmin を放置してたり。
MySQLの権限 grant で ALL にしない
create select update insert delete で十分
*.* (全データベース)にしない
必ず使うデータベースだけ
wordpress.* など。
複数の Wordpress サイトをまとめるときは特に要注意
PHP置き場所 利用するユーザは Apache だけ
Debian 系なら www-data
Redhat 系なら Apache
不用意にディレクトリ全体を 777 とかにしてはダメ
あらゆるファイルのアップロード先には注意する
テーマ編集など なるべく他人にやらせない
テンプレートにコッソリワームを仕込むなど容易い
悪意がなくてもヘマする
不用意にテーマをインストールしてしまったり
入力フォームの追加などコピペで済ませたり
プラグインも同じ。
プラグインそのものはもちろん、
記事内部に php 書けてしまうやつはかなり危険
この場合絶対に知らない人に使わせてはいけない
HTTPS云々 HTTPS は暗号化されているのでひとまず安心
だけど、 HTTP の場合はモロバレ
特に WiFi フリースポットなど、悪意が無くてもログからログインパスワードなど見えてしまうことも。
外で使うスマホ、ノート PC で特に注意
3G から接続ならひとまず安心、だが油断しない。
サーバごと納品する場合はかならず SSL 証明書を買う
証明書が正規のものであるかの説明も必須
phpMyAdmin 便利で使ってる人も多いはず
たまにしか使わず放置してる人も多いはず
昔からこれを狙ったワームが多い
セキュリティホールが多いため。
BASIC 認証や HTTPS オンリーにする
必ずアップデートする
使わないなら消す
感染してるかどうか Top コマンドで CPU 利用率など見る
もしくは管理コンソールなどから。
ps –aux などで知らないプロセスが無いか見る
知らないファイルが増えていないか見る
ちょっと膨大かも…
感染してしまったら 基本的に諦め。サーバごと捨てよう
OS から再インストール
本当に必要なデータだけをバックアップ
テーマなどの php コードは捨てる
記事本文や画像だけ残す
記事本体は編集履歴が残ってるので膨大な量
PHP コードを書けるプラグインを導入するときは、一緒に感染している可能性もあるので良く目を通す
サーバ運営の詳しい方に頼る
基本的にみなさんやさしいはずです!
まとめ Wordpress 入門サイトなどもわりと適当にしか書いていないので良く自分で調べて設置しよう!
特にレンタルサーバごと納品する場合など要注意(だと思われます)
気をつけるべき行為 自宅外から投稿
他人に使わせる(共同管理)
プラグインやテーマなど良く入れ替える
キーワード ワーム SQLインジェクション SSL