Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

防御から謝罪まで・・・WordPressにヤマを張るっ!

937 views

Published on

ssmjp 2016/05/30

Published in: Art & Photos
  • Be the first to comment

防御から謝罪まで・・・WordPressにヤマを張るっ!

  1. 1. 防御から謝罪まで WordPressに ヤマを貼るっ! 松本悦宜 @ ym405nm 公開版
  2. 2. • 自己紹介 • 背景 • HardeningとWordPressの関係 • WordPressでEC • 一般的なセキュリティ対策 • 他の環境の注意事項 内容
  3. 3. 松本 悦宜(まつもとよしのり) 神戸デジタル・ラボ セキュリティソリューション事業部 セキュリティ診断、WordPressなど Hardening チーム「秘密結社にんじんしりしり」で 参加してきました Twitter : ym405nm 自己紹介
  4. 4. 背景
  5. 5. 渋谷ギャル100人に聞きました 彼氏に持っててほしい Hardening スキル
  6. 6. 今日はWordPress関係の話をします • いろいろ大事なスキルはあるけど、ECサイト を守るうえでWebの知識は必須スキルのうち の一つ! • ここ2回WordPressがよく使われている • 次は出るかどうかわからないけど、復習とい う意味でWordPressまわりの話を簡単に解説 します なぜ?
  7. 7. 改ざん謝罪文自動生成WordPressプラグイン WP-SORRY WP Sorry もよろしく! https://github.com/ym405nm/wp-sorry
  8. 8. WP-Sorryの使い方 改ざんされた場合 あなたはすぐ謝罪できますか?
  9. 9. WP-Sorry ①プラグインを有効化
  10. 10. WP-Sorry②改ざんの状況を フォームに記載
  11. 11. ③ショートコードで記載
  12. 12. (参考) 導入事例 Hardening 10 Value Chain ショッピングサイト 6店舗 有効にしたら左のメニューが消えて他の機能が使えない! ク○がぁ!(多数) ご利用者の声 おおむね好評を頂いたようです
  13. 13. WordPressと Hardeningの関係
  14. 14. Hardening と WordPress EC – CUBE 時代2012年ごろ http://www.atmarkit.co.jp/ait/articles/1212/10/news015.html ZenCart 時代2014年ごろ http://www.atmarkit.co.jp/ait/articles/1407/09/news007.html Market Place 導入 WordPress 時代2015年ごろ http://www.atmarkit.co.jp/ait/articles/1507/13/news004.html
  15. 15. WordPressでEC
  16. 16. • WordPressにはEC関係の機能が全くない • 元々はブログソフトウェア • WordPressでECサイトを運用する場合は専用のプラ グインを使用する • Hardeningで使用実績があるのは 「Welcart」と呼ばれるプラグイン WordPress で EC
  17. 17. • 基本的には独自実装が多い WordPressのEC WordPress Welcart • 記事、ファイル管理 • 管理者用画面 • 商品管理 • 購入履歴管理 • 顧客管理 個人情報の管理はむしろこっち
  18. 18. • 他のプラグインからアクセスできる WordPressは「データベース単位」でアクセス制御し ているため、「テーブル単位」ではアクセス制御でき ない WordPressのEC
  19. 19. •WordPressだけでなく、ECパッケージ 側の脆弱性にも注意してください! 脆弱性に注意 https://jvn.jp/jp/JVN43344629/index.html
  20. 20. 一般的なWrodPress のセキュリティ対策
  21. 21. • ユーザ、パスワードのブルートフォース WordPressの一般的なセキュリティ • ほとんどのWordPresssサイト が同じ構造 • デフォルトでは、簡単な POST リクエスト1つでログイン可能 POST wp-login.php HTTP/1.1 Host : example.com Log ={username}&pwd={password}
  22. 22. • サードパーティの脆弱性 ①任意ファイルのアップロード WordPressの一般的なセキュリティ 画像 攻撃用 WordPress プラグイン 外部からアクセス可能
  23. 23. • サードパーティの脆弱性 ②データベース接続情報の不正取得 WordPressの一般的なセキュリティ POST /wp-content/themes/dejavu/lib/scripts/dl-skin.php HTTP/1.1 User-Agent: Mozilla/5.0 (X11; Linux amd64) AppleWebKit/534.36 (KHTML, like Gecko) Chrome/13.0.766.0 Safari/534.36 Host: server Accept-Encoding: gzip Referer: http://server Content-Length: 60 _mysite_download_skin=..%2F..%2F..%2F..%2F..%2Fwp-config.php wp-config.php の内容を読み取ろうとしている
  24. 24. • サードパーティの脆弱性 使わないプラグインのステータスに注意 WordPressの一般的なセキュリティ 有効 無効 削除 ファイル自体は残っている =脆弱性が存在するかも
  25. 25. WP PORTAL って知ってますか? https://wp-portal.net 国内のWordPressに対する 攻撃情報が掲載されている
  26. 26. ssmjp 限定コンテンツ 会場限り
  27. 27. WordPress じゃなかった場合
  28. 28. • EC-CUBE2は過去にも使用されたため可能性はある EC-CUBE?
  29. 29. • EC-CUBE3 • 2015年、7年半ぶりに大型アップデート • Doctrine、Twig、Silexなど信頼の高いフレーム ワークを使用 • セキュリティを意識した設計 • フレームワークに慣れていな人は、コア部分をい じりにくいかも EC-CUBE3は競技には不向き EC-CUBE?
  30. 30. • WordPress上で動くECプラグイン • コア開発のWooThemesをAutomatticが買収 • 現在、10,483,704ダウンロード(10月30日時点) • magentoを抜いて世界で一番利用されているECシス テム • 世界では現在月商数万ドル(数億円)以上の売上を 上げているサイトも稼働している WooCommerce WooCommerceによるECサイト構築 ~WordPressを使った商品情報発信の新しいカタチ~ https://www.prime-strategy.co.jp/resource/pdf/WordCampTokyo2015Woo.pdf
  31. 31. • MTも人気の高いCMSの一つ Movable Type ケータイキット for Movable Type に OS コマンドインジェクションの脆弱性 https://jvn.jp/vu/JVNVU92116866/
  32. 32. 何が出るかわからんっすわ がんばってくださいー! •WordPress今回も出るかも •WordPressでECサイトの注意点 •一般的なセキュリティ対策 結論

×