More Related Content
Similar to WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』 (20)
More from JPCERT Coordination Center (20)
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
- 2. Copyright ©2016 JPCERT/CC All rights reserved.
About Me
• 久保正樹 (くぼまさき)
• 脆弱性のコーディネーター
• Internet Week 2017 プログラム委員
• セキュアコーディング関連の翻訳
1
- 3. Copyright ©2016 JPCERT/CC All rights reserved.
What we do at JPCERT/CC
インシデント
̶報告の受付
̶対応⽀援(分析)
̶情報共有
脆弱性
̶開発者との調整
̶脆弱性アドバイザリの公表
国際間連携
2
- 4. Copyright ©2016 JPCERT/CC All rights reserved.
最近の事案
発⾒者
• フリージャーナリストHanno Böck ⽒
• from Berlin, Germany
• 在野の脆弱性研究者
• サーバのシステム管理も
内容
• 2,000 サイトでDBのダンプファイルがドキュメントルー
ト配下に保存されていた
• 20万件の転居データ(ドイツ)
• 60万件の薬の購買履歴(オーストラリア)
• ⽇本のサイトも
3
- 6. Copyright ©2016 JPCERT/CC All rights reserved.
通知してわかったこと
原因は2つ
1. サーバ移⾏時にDBのダンプファイルをドキュメント
ルートに設置.作業完了後に削除し忘れた
2. バックアップをドキュメントルートに格納していた
え?どういうこと?
5
- 11. Copyright ©2016 JPCERT/CC All rights reserved.
バックアップの保存先
10
htdocs/wordpress/wp-
content/uploads/backwpup-69f694-backups/
- 15. Copyright ©2016 JPCERT/CC All rights reserved.14
プラグイン名 バージョン
Active
Install
ドキュメントルートへ保存 アクセス制御 備考
UpdraftPlus
Backup/Restore
1.13.4 100万+ あり
wordpress/wp-content/updraft
ダウンロード不可
(.htaccess)
All-in-One WP
Migration
6.53 600,000+ あり
wordpress/wp-content/ai1wm-
backups
ダウンロード可
(localhost-wordpress-
20170721-065952-
250.wpress
)
ファイル名を推
測する必要があ
る
Backup 1.1.46 90,000+ あり
wp-content/uploads/backup-
guard
ダウンロード不可
(.htaccess)
Backup by
Supsystic
2.0.11 3,000+ あり
wp-
content/upsupsystic/backup_201
7_07_21-09_27_09_id1.sql
ダウンロード可
(.htaccess はあるものの,
バックアップファイ
ル .sql はアクセス制限さ
れてない)
ファイル名を推
測する必要あり
Backup
Database
4.5.4 2,000+ あり
wp-content/uploads/backup-
database/Jul-21-2017-95017-
bak.zip
ダウンロード不可
(.htaccess)
BackUpWordPre
ss
3.6.4 200,000+ あり
wp-content/backupwordpress-
9b831433ee-backups
ダウンロード不可
(.htaccess)
CYAN Backup 2.3 2,000+ なし
/var/folders/rp/z0kt06xn4gbcn3h
h8gb8syvw0000gn/T
ダウンロード不可
- 16. Copyright ©2016 JPCERT/CC All rights reserved.
まとめ
バックアップファイル(バックアップツー
ル)をうっかり公開していないか,いま⼀
度確認を!
プラグインでバックアップする場合は,
バックアップ先とアクセス制御を確認しま
しょう
15