Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
WordCamp Yokohama 2010 @LT



               WordPressのセキュリティ対策
               WordPressのセキュリティ対策
                        ...
本日のアジェンダ

 1. 神戸デジタル ラボ (KDL)
 1 神戸デジタル・ラボ (KDL) のご紹介


 2. オープンソースのセキュリティ


 3. WordPressへの攻撃事例
    WordPressへの攻撃事例


 4....
1.神戸デジタル・ラボ(KDL)のご紹介
  神戸       (   )  紹介




                                 株式会社神戸デジタル・ラボ                              ...
神戸を拠点に活動
Webサービス、Webセキュリティに特化
                                 株式会社神戸デジタル・ラボ                                   4
         ...
2.オープンソースのセキュリティ




                              株式会社神戸デジタル・ラボ                                   5
            Copyright...
オープンソースの利点

・誰でもカスタマイズ可能


・ユーザ同士の交流


                              株式会社神戸デジタル・ラボ                                   6
   ...
その反面。。。。



                        株式会社神戸デジタル・ラボ                                   7
      Copyright © 2010. Kobe Digital...
悪意のあるユーザにソースコードが
知られている

・DBの設定情報はどこにあるのか
 DBの設定情報はどこにあるのか

・テーブルの情報
   ブ

・書き込み権限のあるファイルはどれか



                         ...
悪意のあるユーザにソースコードが
知られている

・DBの設定情報はどこにあるのか
 DBの設定情報はどこにあるのか
     ソースがばれてい
      ることを
・テーブルの情報
   ブ
    前提に対策する必
      要がある
...
3.WordPressへの攻撃事例
             攻撃事例




                                 株式会社神戸デジタル・ラボ                                 10
...
【 2010年4月】
 ドメイン登録業者Network Solutionsの
 ホスティングサービスを利用していたWordPressが改ざん

WordPressブログの閲覧者が
マルウェアサイトに飛ばされる被害を受けた
           ...
企業のサイトが感染したら
   信用ガタ落ちです。。



 Webアプリケーションレベルで
 Webアプリケ ションレベルで
しっかりとした対策をしましょう!!
し かりとした対策をしましょう!!

                     ...
4.WordPressへのセキュリティ対策
                   対策




                                  株式会社神戸デジタル・ラボ                           ...
脆弱な設定の具体例を紹介

  サイト運営者の方は自身のサイトの
  ことを思い浮かべながら聞いてください



                               株式会社神戸デジタル・ラボ                     ...
例1




                       株式会社神戸デジタル・ラボ                                 15
     Copyright © 2010. Kobe Digital Labo In...
例1

 バ ジョンが古い!!
 バージョンが古い!!




                            株式会社神戸デジタル・ラボ                                 16
          Cop...
・過去のバージョンには脆弱性があるものも
・2010年5月時点では2.9.2が最新




    必ず最新版を!!!

                                         株式会社神戸デジタル・ラボ       ...
例2




                       株式会社神戸デジタル・ラボ                                 18
     Copyright © 2010. Kobe Digital Labo In...
例2




                       株式会社神戸デジタル・ラボ                                 19
     Copyright © 2010. Kobe Digital Labo In...
例2
Wp-config.phpが改ざんされて、、




          サイト自体が
         壊されるおそれ
          がある!!


                                        ...
デフォルトでは書き込み権限が付いた状態




  インストール後wp-config.phpの
 書き込み権限を削除してください!
                                   株式会社神戸デジタル・ラボ        ...
例3




                       株式会社神戸デジタル・ラボ                                 22
     Copyright © 2010. Kobe Digital Labo In...
例3




                       株式会社神戸デジタル・ラボ                                 23
     Copyright © 2010. Kobe Digital Labo In...
例3
 攻撃者がテーブル名を類推できると、、、




     テーブルの中身が
       ブ    身が
     書き換えられてし
     まうおそれがある
         !!

                        ...
wp-config.php




インストール時にテーブルの接頭語を変える

インスト ル後であれば
インストール後であれば
「WP-DatabaseSecurity」で変更できる

                             ...
みなさん今一度、
みなさん今 度
セキュリティ対策の見直しを!!
セキュリティ対策の見直しを!!
      対策  直



                             株式会社神戸デジタル・ラボ                ...
受付配布資料の中に
WordPress用のセキュリティ
 対策チェックシートを
  お配りしています。


                               株式会社神戸デジタル・ラボ                        ...
上記の対策はあくまで
  記 対策は
 予防する手段! !


実
実際に感染していないか
検知、修復する仕組みも必要
                            株式会社神戸デジタル・ラボ                     ...
神戸デジタル・ラボのブースで
検知の仕組みのデモを公開中




                            株式会社神戸デジタル・ラボ                                 29
          Co...
以上、ありがとうございました




                            株式会社神戸デジタル・ラボ                                 30
          Copyright © 2010...
Upcoming SlideShare
Loading in …5
×

WordPressのセキュリティ対策

8,175 views

Published on

Published in: Technology, Travel
  • Wordpress Website Secrets:

    http://adf.ly/5DukQ
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

WordPressのセキュリティ対策

  1. 1. WordCamp Yokohama 2010 @LT WordPressのセキュリティ対策 WordPressのセキュリティ対策 2010年 5月29日 株式会社 神戸デジタル・ラボ 堀家 隆弘 (horike@kdl co jp) horike@kdl.co.jp horike@kdl.co.jp) jp) 株式会社神戸デジタル・ラボ 1 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  2. 2. 本日のアジェンダ 1. 神戸デジタル ラボ (KDL) 1 神戸デジタル・ラボ (KDL) のご紹介 2. オープンソースのセキュリティ 3. WordPressへの攻撃事例 WordPressへの攻撃事例 4. WordPressのセキュリティ対策 4 WordPressのセキュリティ対策 株式会社神戸デジタル・ラボ 2 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  3. 3. 1.神戸デジタル・ラボ(KDL)のご紹介 神戸 ( ) 紹介 株式会社神戸デジタル・ラボ 3 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  4. 4. 神戸を拠点に活動 Webサービス、Webセキュリティに特化 株式会社神戸デジタル・ラボ 4 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  5. 5. 2.オープンソースのセキュリティ 株式会社神戸デジタル・ラボ 5 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  6. 6. オープンソースの利点 ・誰でもカスタマイズ可能 ・ユーザ同士の交流 株式会社神戸デジタル・ラボ 6 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  7. 7. その反面。。。。 株式会社神戸デジタル・ラボ 7 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  8. 8. 悪意のあるユーザにソースコードが 知られている ・DBの設定情報はどこにあるのか DBの設定情報はどこにあるのか ・テーブルの情報 ブ ・書き込み権限のあるファイルはどれか 株式会社神戸デジタル・ラボ 8 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  9. 9. 悪意のあるユーザにソースコードが 知られている ・DBの設定情報はどこにあるのか DBの設定情報はどこにあるのか ソースがばれてい ることを ・テーブルの情報 ブ 前提に対策する必 要がある が ・書き込み権限のあるファイルはどれか 株式会社神戸デジタル・ラボ 9 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  10. 10. 3.WordPressへの攻撃事例 攻撃事例 株式会社神戸デジタル・ラボ 10 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  11. 11. 【 2010年4月】 ドメイン登録業者Network Solutionsの ホスティングサービスを利用していたWordPressが改ざん WordPressブログの閲覧者が マルウェアサイトに飛ばされる被害を受けた 株式会社神戸デジタル・ラボ 11 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  12. 12. 企業のサイトが感染したら 信用ガタ落ちです。。 Webアプリケーションレベルで Webアプリケ ションレベルで しっかりとした対策をしましょう!! し かりとした対策をしましょう!! 株式会社神戸デジタル・ラボ 12 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  13. 13. 4.WordPressへのセキュリティ対策 対策 株式会社神戸デジタル・ラボ 13 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  14. 14. 脆弱な設定の具体例を紹介 サイト運営者の方は自身のサイトの ことを思い浮かべながら聞いてください 株式会社神戸デジタル・ラボ 14 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  15. 15. 例1 株式会社神戸デジタル・ラボ 15 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  16. 16. 例1 バ ジョンが古い!! バージョンが古い!! 株式会社神戸デジタル・ラボ 16 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  17. 17. ・過去のバージョンには脆弱性があるものも ・2010年5月時点では2.9.2が最新 必ず最新版を!!! 株式会社神戸デジタル・ラボ 17 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  18. 18. 例2 株式会社神戸デジタル・ラボ 18 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  19. 19. 例2 株式会社神戸デジタル・ラボ 19 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  20. 20. 例2 Wp-config.phpが改ざんされて、、 サイト自体が 壊されるおそれ がある!! 株式会社神戸デジタル・ラボ 20 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  21. 21. デフォルトでは書き込み権限が付いた状態 インストール後wp-config.phpの 書き込み権限を削除してください! 株式会社神戸デジタル・ラボ 21 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  22. 22. 例3 株式会社神戸デジタル・ラボ 22 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  23. 23. 例3 株式会社神戸デジタル・ラボ 23 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  24. 24. 例3 攻撃者がテーブル名を類推できると、、、 テーブルの中身が ブ 身が 書き換えられてし まうおそれがある !! 株式会社神戸デジタル・ラボ 24 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  25. 25. wp-config.php インストール時にテーブルの接頭語を変える インスト ル後であれば インストール後であれば 「WP-DatabaseSecurity」で変更できる 株式会社神戸デジタル・ラボ 25 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  26. 26. みなさん今一度、 みなさん今 度 セキュリティ対策の見直しを!! セキュリティ対策の見直しを!! 対策 直 株式会社神戸デジタル・ラボ 26 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  27. 27. 受付配布資料の中に WordPress用のセキュリティ 対策チェックシートを お配りしています。 株式会社神戸デジタル・ラボ 27 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  28. 28. 上記の対策はあくまで 記 対策は 予防する手段! ! 実 実際に感染していないか 検知、修復する仕組みも必要 株式会社神戸デジタル・ラボ 28 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  29. 29. 神戸デジタル・ラボのブースで 検知の仕組みのデモを公開中 株式会社神戸デジタル・ラボ 29 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.
  30. 30. 以上、ありがとうございました 株式会社神戸デジタル・ラボ 30 Copyright © 2010. Kobe Digital Labo Inc. ,Ltd. All rights reserved.

×