Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

WordCamp Kansai 2014 セキュリティ&バックアップ

14,118 views

Published on

安全にWordPressを使う 誰でもできるセキュリティ&バックアップ

HTMLがわからない人でもできる、WordPressを安全に運用するセキュリティ対策を次の4点を中心にお伝えします。

Published in: Internet
  • Be the first to comment

WordCamp Kansai 2014 セキュリティ&バックアップ

  1. 1. 安全にWordPressを使う 誰でもできるセキュリティ&バックアップ 杉田 知至 Tomoyuki Sugita WordCamp Kansai 2014 2014.6.7 ナレッジキャピタル カンファレンスルーム Tower C in GRAND FRONT OSAKA
  2. 2. 自己紹介 About me
  3. 3. 杉田 知至(クックビズ株式会社)
 tomotomosnippet.blogspot.jp
  @tomotomobile
  tomoyuki.sugita 職業:Growth Hacker
 趣味:WordPressプラグイン作成
 本当の趣味:懇親会(飲み会) Tomoyuki SUGITA
  4. 4. キャンペーン管理が驚くほどカンタンに
  5. 5. キャンペーン管理が驚くほどカンタンに 
 Download
 Now!! あんまりダウンロードされてませんw
  6. 6. お恥ずかしい
  7. 7. セキュリティ & バックアップ Security Back up
  8. 8. Permission 744 -rw-------
  9. 9. <?php 
 echo esc_url( 
 get_author_posts_url( $contributor_id ) 
 ); 
 ?>
  10. 10. Permission 744 -rw-------
  11. 11. <?php 
 echo esc_url( 
 get_author_posts_url( $contributor_id ) 
 ); 
 ?>
  12. 12. 怖くないよ! Not afraid
  13. 13. 本セッションのテーマ • プログラミングの話はしません! • レンタルサーバーを想定したお話です • ブロガー、ディレクター向けかも • 社内外の資料として活用してOK
  14. 14. 60% / 10,000,000 22% 68
  15. 15. WordPress ! 世界で最も使われているCMS
  16. 16. 2014.06.01 http://w3techs.com/technologies/overview/content_management/all
  17. 17. 古いバージョンには セキュリティーホールがある
  18. 18. http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337 http://codex.wordpress.org/WordPress_Versions
  19. 19. どれくらい 古いバージョンを 使っている人がいるの?
  20. 20. System Statistics http://wordpress.org/about/stats/
  21. 21. 60% / 10,000,000 22% 68
  22. 22. WordPressへのハッキング その原因は? Cause of cracking
  23. 23. ハッキングされた原因 • 4割がホスティング • 3割がテーマのセキュリティ・ホール • 2割がプラグインのセキュリティ・ホール • 1割がパスワード ※2012年の情報です http://refugeeks.com/wordpress-safety-security-infographic/
  24. 24. Case: Firstserver, Inc.
  25. 25. WordPress関連の改ざん事案は 過去半年間で約40件
  26. 26. 改ざんされた結果…
  27. 27. 5% vs 95%
  28. 28. 約5% サイトが表示されない、表示が書き換わる ! 約95% サイト表示には影響なく 大量のメール送信や外部への 攻撃スクリプトを設置され高負荷
  29. 29. サイトを変えて喜ぶイタズラ ! ほとんどがSPAMを送る踏み台に!!
  30. 30. http://www.si-jirei.jp/secure/laccolumn04/
  31. 31. 高負荷 SPAMの踏み台 気づいてない人が多い!
  32. 32. 本題 Main Subject
  33. 33. 安全にWordPressを使う4つのポイント 1. パスワード 2. テーマ&プラグイン(公式ディレクトリ) 3. バックアップ 4. アップデート
  34. 34. パスワード Password
  35. 35. パスワード • ユーザ名「admin」使ってないですよね? • ブルートフォースアタックは8文字以内 • 平文で保存してるサービスもあるから同じパスワー ドを使うと危険
 WPも暗号化してるよ
  36. 36. 2013-04-24 07:29:02 admin:nevalidniipass 2013-04-24 07:29:14 admin:boboc 2013-04-24 07:29:26 admin:bonjovi 2013-04-24 07:29:37 admin:booboo 2013-04-24 07:29:50 admin:boule 2013-04-24 07:30:02 admin:bubbles 2013-04-24 07:30:21 admin:buh2 2013-04-24 07:30:33 admin:buldogue 2013-04-24 07:30:48 admin:bunny 2013-04-24 07:31:02 admin:buyuk 2013-04-24 07:31:13 admin:cekic 2013-04-24 07:31:25 admin:chico 2013-04-24 07:31:46 admin:chucky 2013-04-24 07:31:58 admin:ciclone 2013-04-24 07:32:11 admin:ciklon 2013-04-24 07:32:24 admin:cindy 2013-04-24 07:32:38 admin:clock (後略) http://firegoby.jp/archives/4395
  37. 37. (Password)
 nakuyouguisu ↓(md5) c44f4da7a5d9c0bab452c834b6b76435
  38. 38. (Password)
 nakuyouguisu ↓(SHA1) aae254b2dbf5ad8f028b7d5ccff034dfb3 f05667
  39. 39. https://lastpass.com/
  40. 40. https://chrome.google.com/webstore/detail/lastpass-free- password-ma/hdokiejnpimakedhajhdlcegeplioahd?hl=ja
  41. 41. https://agilebits.com/onepassword
  42. 42. テーマ&プラグイン
 (公式ディレクトリ) Themes & Plugin
  43. 43. テーマ(公式ディレクトリ) • 公式ディレクトリと野良テーマ
 (公式)バグやセキュリティを厳しくチェック
 (野良)自分で責任取ってね
  44. 44. 公式ディレクトリ
  45. 45. http://mignonstyle.com/chocolat/
  46. 46. https://themes.trac.wordpress.org/ticket/16538
  47. 47. ダメ出しが・・・ https://themes.trac.wordpress.org/ticket/16538
  48. 48. テーマ(公式ディレクトリ) • どこからインストールできるの?
  49. 49. テーマ(公式ディレクトリ)
  50. 50. テーマ(公式ディレクトリ)
  51. 51. 野良テーマ 俺のテーマは安全だから大丈夫! (俺調べ)
  52. 52. プラグイン(公式ディレクトリ) • どこからインストールできるの?
  53. 53. プラグイン(公式ディレクトリ)
  54. 54. プラグイン(公式ディレクトリ)
  55. 55. バックアップ Back up
  56. 56. バックアップ • (前提)コンテンツはDBに保存している WordCampに参加した 
 今日はグランフロントでセキュリ ティ&バックアップについてプレ ゼンをしてきました。 大人数の前で話して緊張しました。 投稿 データベース
  57. 57. バックアップ • (前提)コンテンツはDBに保存している • バックアップにはVaultPressを使いましょう
  58. 58. https://vaultpress.com/
  59. 59. https://vaultpress.com/plans/
  60. 60. 無料のバックアップ プラグインあるでしょ?
  61. 61. 無料のバックアッププラグイン • リストアできませんので! WordCampに参加した 
 今日はグランフロントでセキュリ ティ&バックアップについてプレ ゼンをしてきました。 大人数の前で話して緊張しました。 投稿 データベース
  62. 62. BackWPup?
  63. 63. BackWPup? DB丸見えだから
  64. 64. エンジニアに頼みましょう
  65. 65. アップデート Update
  66. 66. アップデート http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/year-2014/Wordpress-Wordpress.html
  67. 67. 自動アップデート • WordPress 3.7バージョン以降(2013年10月24日リリース)
 マイナーバージョンは自動アップデート • メジャーバージョンは設定すればできる • Advanced Automatic Updates (オススメ)
 http://wordpress.org/plugins/automatic-updater/
  68. 68. 自動アップデート 全部チェック
  69. 69. おまけ
  70. 70. WordPressとPHPバージョン
  71. 71. WordPressとPHPバージョン • PHP5.3のサポートはそろそろ終わるよ
 http://www.php.net/ChangeLog-5.php#5.3.28 • 企業ユーザーはアップデート検討してください • 個人ユーザーはいっそのことWordPress.com
  72. 72. WordPress.com
  73. 73. http://ja.wordpress.com/
  74. 74. インフォグラフィック GPLライセンスで公開
 http://git.io/wck2014graph GNU General Public License
  75. 75. ご清聴ありがとうございました

×