WordCamp Kansai 2014 セキュリティ&バックアップ

13,331 views
13,253 views

Published on

安全にWordPressを使う 誰でもできるセキュリティ&バックアップ

HTMLがわからない人でもできる、WordPressを安全に運用するセキュリティ対策を次の4点を中心にお伝えします。

Published in: Internet

WordCamp Kansai 2014 セキュリティ&バックアップ

  1. 1. 安全にWordPressを使う 誰でもできるセキュリティ&バックアップ 杉田 知至 Tomoyuki Sugita WordCamp Kansai 2014 2014.6.7 ナレッジキャピタル カンファレンスルーム Tower C in GRAND FRONT OSAKA
  2. 2. 自己紹介 About me
  3. 3. 杉田 知至(クックビズ株式会社)
 tomotomosnippet.blogspot.jp
  @tomotomobile
  tomoyuki.sugita 職業:Growth Hacker
 趣味:WordPressプラグイン作成
 本当の趣味:懇親会(飲み会) Tomoyuki SUGITA
  4. 4. キャンペーン管理が驚くほどカンタンに
  5. 5. キャンペーン管理が驚くほどカンタンに 
 Download
 Now!! あんまりダウンロードされてませんw
  6. 6. お恥ずかしい
  7. 7. セキュリティ & バックアップ Security Back up
  8. 8. Permission 744 -rw-------
  9. 9. <?php 
 echo esc_url( 
 get_author_posts_url( $contributor_id ) 
 ); 
 ?>
  10. 10. Permission 744 -rw-------
  11. 11. <?php 
 echo esc_url( 
 get_author_posts_url( $contributor_id ) 
 ); 
 ?>
  12. 12. 怖くないよ! Not afraid
  13. 13. 本セッションのテーマ • プログラミングの話はしません! • レンタルサーバーを想定したお話です • ブロガー、ディレクター向けかも • 社内外の資料として活用してOK
  14. 14. 60% / 10,000,000 22% 68
  15. 15. WordPress ! 世界で最も使われているCMS
  16. 16. 2014.06.01 http://w3techs.com/technologies/overview/content_management/all
  17. 17. 古いバージョンには セキュリティーホールがある
  18. 18. http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337 http://codex.wordpress.org/WordPress_Versions
  19. 19. どれくらい 古いバージョンを 使っている人がいるの?
  20. 20. System Statistics http://wordpress.org/about/stats/
  21. 21. 60% / 10,000,000 22% 68
  22. 22. WordPressへのハッキング その原因は? Cause of cracking
  23. 23. ハッキングされた原因 • 4割がホスティング • 3割がテーマのセキュリティ・ホール • 2割がプラグインのセキュリティ・ホール • 1割がパスワード ※2012年の情報です http://refugeeks.com/wordpress-safety-security-infographic/
  24. 24. Case: Firstserver, Inc.
  25. 25. WordPress関連の改ざん事案は 過去半年間で約40件
  26. 26. 改ざんされた結果…
  27. 27. 5% vs 95%
  28. 28. 約5% サイトが表示されない、表示が書き換わる ! 約95% サイト表示には影響なく 大量のメール送信や外部への 攻撃スクリプトを設置され高負荷
  29. 29. サイトを変えて喜ぶイタズラ ! ほとんどがSPAMを送る踏み台に!!
  30. 30. http://www.si-jirei.jp/secure/laccolumn04/
  31. 31. 高負荷 SPAMの踏み台 気づいてない人が多い!
  32. 32. 本題 Main Subject
  33. 33. 安全にWordPressを使う4つのポイント 1. パスワード 2. テーマ&プラグイン(公式ディレクトリ) 3. バックアップ 4. アップデート
  34. 34. パスワード Password
  35. 35. パスワード • ユーザ名「admin」使ってないですよね? • ブルートフォースアタックは8文字以内 • 平文で保存してるサービスもあるから同じパスワー ドを使うと危険
 WPも暗号化してるよ
  36. 36. 2013-04-24 07:29:02 admin:nevalidniipass 2013-04-24 07:29:14 admin:boboc 2013-04-24 07:29:26 admin:bonjovi 2013-04-24 07:29:37 admin:booboo 2013-04-24 07:29:50 admin:boule 2013-04-24 07:30:02 admin:bubbles 2013-04-24 07:30:21 admin:buh2 2013-04-24 07:30:33 admin:buldogue 2013-04-24 07:30:48 admin:bunny 2013-04-24 07:31:02 admin:buyuk 2013-04-24 07:31:13 admin:cekic 2013-04-24 07:31:25 admin:chico 2013-04-24 07:31:46 admin:chucky 2013-04-24 07:31:58 admin:ciclone 2013-04-24 07:32:11 admin:ciklon 2013-04-24 07:32:24 admin:cindy 2013-04-24 07:32:38 admin:clock (後略) http://firegoby.jp/archives/4395
  37. 37. (Password)
 nakuyouguisu ↓(md5) c44f4da7a5d9c0bab452c834b6b76435
  38. 38. (Password)
 nakuyouguisu ↓(SHA1) aae254b2dbf5ad8f028b7d5ccff034dfb3 f05667
  39. 39. https://lastpass.com/
  40. 40. https://chrome.google.com/webstore/detail/lastpass-free- password-ma/hdokiejnpimakedhajhdlcegeplioahd?hl=ja
  41. 41. https://agilebits.com/onepassword
  42. 42. テーマ&プラグイン
 (公式ディレクトリ) Themes & Plugin
  43. 43. テーマ(公式ディレクトリ) • 公式ディレクトリと野良テーマ
 (公式)バグやセキュリティを厳しくチェック
 (野良)自分で責任取ってね
  44. 44. 公式ディレクトリ
  45. 45. http://mignonstyle.com/chocolat/
  46. 46. https://themes.trac.wordpress.org/ticket/16538
  47. 47. ダメ出しが・・・ https://themes.trac.wordpress.org/ticket/16538
  48. 48. テーマ(公式ディレクトリ) • どこからインストールできるの?
  49. 49. テーマ(公式ディレクトリ)
  50. 50. テーマ(公式ディレクトリ)
  51. 51. 野良テーマ 俺のテーマは安全だから大丈夫! (俺調べ)
  52. 52. プラグイン(公式ディレクトリ) • どこからインストールできるの?
  53. 53. プラグイン(公式ディレクトリ)
  54. 54. プラグイン(公式ディレクトリ)
  55. 55. バックアップ Back up
  56. 56. バックアップ • (前提)コンテンツはDBに保存している WordCampに参加した 
 今日はグランフロントでセキュリ ティ&バックアップについてプレ ゼンをしてきました。 大人数の前で話して緊張しました。 投稿 データベース
  57. 57. バックアップ • (前提)コンテンツはDBに保存している • バックアップにはVaultPressを使いましょう
  58. 58. https://vaultpress.com/
  59. 59. https://vaultpress.com/plans/
  60. 60. 無料のバックアップ プラグインあるでしょ?
  61. 61. 無料のバックアッププラグイン • リストアできませんので! WordCampに参加した 
 今日はグランフロントでセキュリ ティ&バックアップについてプレ ゼンをしてきました。 大人数の前で話して緊張しました。 投稿 データベース
  62. 62. BackWPup?
  63. 63. BackWPup? DB丸見えだから
  64. 64. エンジニアに頼みましょう
  65. 65. アップデート Update
  66. 66. アップデート http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/year-2014/Wordpress-Wordpress.html
  67. 67. 自動アップデート • WordPress 3.7バージョン以降(2013年10月24日リリース)
 マイナーバージョンは自動アップデート • メジャーバージョンは設定すればできる • Advanced Automatic Updates (オススメ)
 http://wordpress.org/plugins/automatic-updater/
  68. 68. 自動アップデート 全部チェック
  69. 69. おまけ
  70. 70. WordPressとPHPバージョン
  71. 71. WordPressとPHPバージョン • PHP5.3のサポートはそろそろ終わるよ
 http://www.php.net/ChangeLog-5.php#5.3.28 • 企業ユーザーはアップデート検討してください • 個人ユーザーはいっそのことWordPress.com
  72. 72. WordPress.com
  73. 73. http://ja.wordpress.com/
  74. 74. インフォグラフィック GPLライセンスで公開
 http://git.io/wck2014graph GNU General Public License
  75. 75. ご清聴ありがとうございました

×