Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Word presssecurity

290 views

Published on

WordPress セキュリティを考える回、資料。
WordPress のログインの仕組み、二段階認証。ログイン判定クッキーとソルト。

Published in: Technology
  • 「WordPress Security を考える会 第二回 http://atnd.org/events/43777 」を茅場町で開催します。「WordPress Security を考える会 第三回 http://connpass.com/event/3574/ 」を名古屋で開催します。
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

Word presssecurity

  1. 1. WordPress セキュリティを考 える会 水野史土 レスキューワーク株式会社 http://www.rescuework.jp/
  2. 2. 自己紹介 WordPress 日本語化チーム フォーラムの常連回答者 Novius OS のコントリビュータ
  3. 3. WordPress のログインの仕組み ログイン URL へアクセス ● ユーザー名 ● パスワード を入力する
  4. 4. 二段階認証(Google Authenticator) ● ユーザー名 ● パスワード + Google Authenticator code を入力 http://wordpress. org/plugins/google- authenticator/
  5. 5. 二段階認証の例 ログイン時(または直前)に、 携帯端末やメールアドレスに、 一定時間のみ有効なパスワードを送る 送信されたパスワードを入力しないと、 ログインできない
  6. 6. 二段階認証にすると ログインにパスワードと二段階認証が必要 パスワードを盗まれても(推測されても)、 アカウント乗っ取りを防げる
  7. 7. WordPress の認証チェック処理 ログイン URL ログイン 状態 ID、パスワードを入力 =>ログイン
  8. 8. 二段階認証を導入 ログイン URL ログイン 状態 ID、パスワード に加えて 認証コードが必要 追加の認証
  9. 9. ログインログ/アカウントロック ログインログ Crazy Bone、Login Alert Notification 等 => ログインURL へのアクセス、またはログイン試 行結果を記録する アカウントロック Simple Login Lockdown 等 => ログイン失敗が一定数を超えると、そのアカウ ント(あるいは端末)でログイン不可にする
  10. 10. ログインログ/アカウントロック ログイン URL ログイン 状態 ログ取得
  11. 11. ログイン状態の保持 WordPress では、クッキーを使用 特定のキー/値のクッキーがある => ログインしていると判定される クッキー生成にソルトを利用
  12. 12. クッキーでのログイン処理 トップペー ジ等 ログイン 状態 クッキーがある =>ログイン
  13. 13. クッキーと二段階認証 Google Authenticator の場合 ● ログイン URL に認証を追加する ● トップページ等では追加していない ● クッキーのチェックは二段階認証ではない
  14. 14. クッキーを偽造する不正ログイン WordPress では、クッキーを偽造する方法で 不正ログインが可能 ● ログイン ID ● パスワード ● ソルト (wp-config.php の情報)
  15. 15. デモ クッキー偽造による不正ログイン

×