WordCamp Yokohama 2010 @LT



               WordPressのセキュリティ対策
               WordPressのセキュリティ対策
                        ...
本日のアジェンダ

 1. 神戸デジタル ラボ (KDL)
 1 神戸デジタル・ラボ (KDL) のご紹介


 2. オープンソースのセキュリティ


 3. WordPressへの攻撃事例
    WordPressへの攻撃事例


 4....
1.神戸デジタル・ラボ(KDL)のご紹介
  神戸       (   )  紹介




                                 株式会社神戸デジタル・ラボ                              ...
神戸を拠点に活動
Webサービス、Webセキュリティに特化
                                 株式会社神戸デジタル・ラボ                                   4
         ...
2.オープンソースのセキュリティ




                              株式会社神戸デジタル・ラボ                                   5
            Copyright...
オープンソースの利点

・誰でもカスタマイズ可能


・ユーザ同士の交流


                              株式会社神戸デジタル・ラボ                                   6
   ...
その反面。。。。



                        株式会社神戸デジタル・ラボ                                   7
      Copyright © 2010. Kobe Digital...
悪意のあるユーザにソースコードが
知られている

・DBの設定情報はどこにあるのか
 DBの設定情報はどこにあるのか

・テーブルの情報
   ブ

・書き込み権限のあるファイルはどれか



                         ...
悪意のあるユーザにソースコードが
知られている

・DBの設定情報はどこにあるのか
 DBの設定情報はどこにあるのか
     ソースがばれてい
      ることを
・テーブルの情報
   ブ
    前提に対策する必
      要がある
...
3.WordPressへの攻撃事例
             攻撃事例




                                 株式会社神戸デジタル・ラボ                                 10
...
【 2010年4月】
 ドメイン登録業者Network Solutionsの
 ホスティングサービスを利用していたWordPressが改ざん

WordPressブログの閲覧者が
マルウェアサイトに飛ばされる被害を受けた
           ...
企業のサイトが感染したら
   信用ガタ落ちです。。



 Webアプリケーションレベルで
 Webアプリケ ションレベルで
しっかりとした対策をしましょう!!
し かりとした対策をしましょう!!

                     ...
4.WordPressへのセキュリティ対策
                   対策




                                  株式会社神戸デジタル・ラボ                           ...
脆弱な設定の具体例を紹介

  サイト運営者の方は自身のサイトの
  ことを思い浮かべながら聞いてください



                               株式会社神戸デジタル・ラボ                     ...
例1




                       株式会社神戸デジタル・ラボ                                 15
     Copyright © 2010. Kobe Digital Labo In...
例1

 バ ジョンが古い!!
 バージョンが古い!!




                            株式会社神戸デジタル・ラボ                                 16
          Cop...
・過去のバージョンには脆弱性があるものも
・2010年5月時点では2.9.2が最新




    必ず最新版を!!!

                                         株式会社神戸デジタル・ラボ       ...
例2




                       株式会社神戸デジタル・ラボ                                 18
     Copyright © 2010. Kobe Digital Labo In...
例2




                       株式会社神戸デジタル・ラボ                                 19
     Copyright © 2010. Kobe Digital Labo In...
例2
Wp-config.phpが改ざんされて、、




          サイト自体が
         壊されるおそれ
          がある!!


                                        ...
デフォルトでは書き込み権限が付いた状態




  インストール後wp-config.phpの
 書き込み権限を削除してください!
                                   株式会社神戸デジタル・ラボ        ...
例3




                       株式会社神戸デジタル・ラボ                                 22
     Copyright © 2010. Kobe Digital Labo In...
例3




                       株式会社神戸デジタル・ラボ                                 23
     Copyright © 2010. Kobe Digital Labo In...
例3
 攻撃者がテーブル名を類推できると、、、




     テーブルの中身が
       ブ    身が
     書き換えられてし
     まうおそれがある
         !!

                        ...
wp-config.php




インストール時にテーブルの接頭語を変える

インスト ル後であれば
インストール後であれば
「WP-DatabaseSecurity」で変更できる

                             ...
みなさん今一度、
みなさん今 度
セキュリティ対策の見直しを!!
セキュリティ対策の見直しを!!
      対策  直



                             株式会社神戸デジタル・ラボ                ...
受付配布資料の中に
WordPress用のセキュリティ
 対策チェックシートを
  お配りしています。


                               株式会社神戸デジタル・ラボ                        ...
上記の対策はあくまで
  記 対策は
 予防する手段! !


実
実際に感染していないか
検知、修復する仕組みも必要
                            株式会社神戸デジタル・ラボ                     ...
神戸デジタル・ラボのブースで
検知の仕組みのデモを公開中




                            株式会社神戸デジタル・ラボ                                 29
          Co...
以上、ありがとうございました




                            株式会社神戸デジタル・ラボ                                 30
          Copyright © 2010...
Upcoming SlideShare
Loading in …5
×

WordPressのセキュリティ対策

7,793 views

Published on

Published in: Technology, Travel
1 Comment
5 Likes
Statistics
Notes
  • Wordpress Website Secrets:

    http://adf.ly/5DukQ
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total views
7,793
On SlideShare
0
From Embeds
0
Number of Embeds
1,920
Actions
Shares
0
Downloads
17
Comments
1
Likes
5
Embeds 0
No embeds

No notes for slide

WordPressのセキュリティ対策

  1. 1. WordCamp Yokohama 2010 @LT WordPressのセキュリティ対策 WordPressのセキュリティ対策 2010年 5月29日 株式会社 神戸デジタル・ラボ 堀家 隆弘 (horike@kdl co jp) horike@kdl.co.jp horike@kdl.co.jp) jp) 株式会社神戸デジタル・ラボ 1 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  2. 2. 本日のアジェンダ 1. 神戸デジタル ラボ (KDL) 1 神戸デジタル・ラボ (KDL) のご紹介 2. オープンソースのセキュリティ 3. WordPressへの攻撃事例 WordPressへの攻撃事例 4. WordPressのセキュリティ対策 4 WordPressのセキュリティ対策 株式会社神戸デジタル・ラボ 2 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  3. 3. 1.神戸デジタル・ラボ(KDL)のご紹介 神戸 ( ) 紹介 株式会社神戸デジタル・ラボ 3 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  4. 4. 神戸を拠点に活動 Webサービス、Webセキュリティに特化 株式会社神戸デジタル・ラボ 4 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  5. 5. 2.オープンソースのセキュリティ 株式会社神戸デジタル・ラボ 5 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  6. 6. オープンソースの利点 ・誰でもカスタマイズ可能 ・ユーザ同士の交流 株式会社神戸デジタル・ラボ 6 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  7. 7. その反面。。。。 株式会社神戸デジタル・ラボ 7 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  8. 8. 悪意のあるユーザにソースコードが 知られている ・DBの設定情報はどこにあるのか DBの設定情報はどこにあるのか ・テーブルの情報 ブ ・書き込み権限のあるファイルはどれか 株式会社神戸デジタル・ラボ 8 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  9. 9. 悪意のあるユーザにソースコードが 知られている ・DBの設定情報はどこにあるのか DBの設定情報はどこにあるのか ソースがばれてい ることを ・テーブルの情報 ブ 前提に対策する必 要がある が ・書き込み権限のあるファイルはどれか 株式会社神戸デジタル・ラボ 9 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  10. 10. 3.WordPressへの攻撃事例 攻撃事例 株式会社神戸デジタル・ラボ 10 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  11. 11. 【 2010年4月】 ドメイン登録業者Network Solutionsの ホスティングサービスを利用していたWordPressが改ざん WordPressブログの閲覧者が マルウェアサイトに飛ばされる被害を受けた 株式会社神戸デジタル・ラボ 11 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  12. 12. 企業のサイトが感染したら 信用ガタ落ちです。。 Webアプリケーションレベルで Webアプリケ ションレベルで しっかりとした対策をしましょう!! し かりとした対策をしましょう!! 株式会社神戸デジタル・ラボ 12 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  13. 13. 4.WordPressへのセキュリティ対策 対策 株式会社神戸デジタル・ラボ 13 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  14. 14. 脆弱な設定の具体例を紹介 サイト運営者の方は自身のサイトの ことを思い浮かべながら聞いてください 株式会社神戸デジタル・ラボ 14 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  15. 15. 例1 株式会社神戸デジタル・ラボ 15 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  16. 16. 例1 バ ジョンが古い!! バージョンが古い!! 株式会社神戸デジタル・ラボ 16 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  17. 17. ・過去のバージョンには脆弱性があるものも ・2010年5月時点では2.9.2が最新 必ず最新版を!!! 株式会社神戸デジタル・ラボ 17 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  18. 18. 例2 株式会社神戸デジタル・ラボ 18 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  19. 19. 例2 株式会社神戸デジタル・ラボ 19 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  20. 20. 例2 Wp-config.phpが改ざんされて、、 サイト自体が 壊されるおそれ がある!! 株式会社神戸デジタル・ラボ 20 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  21. 21. デフォルトでは書き込み権限が付いた状態 インストール後wp-config.phpの 書き込み権限を削除してください! 株式会社神戸デジタル・ラボ 21 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  22. 22. 例3 株式会社神戸デジタル・ラボ 22 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  23. 23. 例3 株式会社神戸デジタル・ラボ 23 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  24. 24. 例3 攻撃者がテーブル名を類推できると、、、 テーブルの中身が ブ 身が 書き換えられてし まうおそれがある !! 株式会社神戸デジタル・ラボ 24 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  25. 25. wp-config.php インストール時にテーブルの接頭語を変える インスト ル後であれば インストール後であれば 「WP-DatabaseSecurity」で変更できる 株式会社神戸デジタル・ラボ 25 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  26. 26. みなさん今一度、 みなさん今 度 セキュリティ対策の見直しを!! セキュリティ対策の見直しを!! 対策 直 株式会社神戸デジタル・ラボ 26 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  27. 27. 受付配布資料の中に WordPress用のセキュリティ 対策チェックシートを お配りしています。 株式会社神戸デジタル・ラボ 27 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  28. 28. 上記の対策はあくまで 記 対策は 予防する手段! ! 実 実際に感染していないか 検知、修復する仕組みも必要 株式会社神戸デジタル・ラボ 28 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  29. 29. 神戸デジタル・ラボのブースで 検知の仕組みのデモを公開中 株式会社神戸デジタル・ラボ 29 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  30. 30. 以上、ありがとうございました 株式会社神戸デジタル・ラボ 30 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.

×