WORDBENCH FUKUOKA
3.6回目
2013年9月27日
1

• 万野 潤二
• minneチームの開発
• 以前はlolipopの開発など
• 個人活動
• Wordpress workshop（主に糸島方面で点々と）
• 糸島芸農（AAFプロジェクト）
2

3

WORDPRESSの
パーミッション
• 8月下旬にロリポップに対する大規模な攻撃、サイトの改竄が発生。
• ロリポップレンタルサーバーへの攻撃を防ぐためにwp-config.phpのパーミッショ
ンを400に変更、install.phpを000に変更。またデータベースのパスワード変更実施
など。
• Codex（http://wpdocs.sourceforge.jp/ファイルパーミッションの変更）にWordPress
で推奨するパーミッション構成が記載されています。
• 400だと、所有者の読み込み権限のみ。ただし、これだと不都合がある。
4

WP-CONFIG.PHP
• wp-config.phpに設定を書き込む必要のあるプラグイン
• 例えばwp super cacheの場合 、以下のような設定が必要
となる（が、書けない）
define('WP_CACHE', true);
define( 'WPCACHEHOME', '/home/users/1/lolipop.jp-manno/web/wbf0927/wp-
content/plugins/wp-super-cache/' );
5

6

所有者に書き込み
権限を付与する
600 rw-------
7

8

WAFの導入
• SQLインジェクションやクロスサイトスクリプティングな
ど、Webアプリケーション上の脆弱性をカバーする装置。
WAFは通常のファイアウォールと同様にすべてのHTTP/
HTTPSトラフィックを中継し、通信の内容を精査する。
GNUライセンスの下で公開されているオープンソースの
Webアプリケーションファイアウォール
9

ロリポップなら簡単に利用す
ることが出来ます
10

ADMIN USER
• ユーザー名に”admin”であってはいけない by HostGator
http://blog.hostgator.com/2013/04/11/global-wordpress-brute-force-flood/
• ブルート・フォース・アタックの標的
• 管理者権限剥奪、権限悪用、個人情報漏洩...
• 攻撃されやすいユーザー名あるある
• admin, 123456, demo, administrator, root, webmaster, test...
11

GOOD BY ADMIN..
• 作成されたアカウントadminは削除できない
→ってワケでもない
• DBからアカウントをリネームはリスクが高い
→これは避けたい
• 解決してくれるのが Admin renamer extended
• 文字通り簡単にリネームしてくれるプラグイン
12

13

Limit Login Attempts
• Wordpressは何度もログインに失敗してもリトライ制限はない。
• ブルートフォースアタックの格好の 食になり易い。
• http://wordpress.org/plugins/limit-login-attempts/
• 機械攻撃を防止
• ログイン認証リトライ回数制限など
14

15

16

SI CAPTCHA Anti-Spam
• http://wordpress.org/plugins/si-captcha-for-wordpress/
• 機械攻撃を防止
17

18

19

ThreeWP Activity Monitor
• ログイン履歴を管理するプラグイン
20

21

• セキュリティ対策はすごく大事。
• 優良なセキュリティプラグインが充実している。
• 使っていない方は早速導入してみましょう。
22