Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Wordpressのセキュリティーについて考える

Avatar for ryuh_a ryuh_a
May 26, 2018
Technology
0
210

 Wordpressのセキュリティーについて考える

第20回WordBench羽田LT資料
開催日:2018年5月26日

Avatar for ryuh_a

ryuh_a

May 26, 2018
Tweet

More Decks by ryuh_a

See All by ryuh_a
第18回WordBench羽田ーカスタムフィールドを活用しよう
Avatar for ryuh_a ryuh_a
0
320

Other Decks in Technology

See All in Technology
JAWS DAYS 2026 楽しく学ぼう!ストレージ 入門
Avatar for Yoshiki Fujiwara yoshiki0705
2
180
Claude Code のコード品質がばらつくので AI に品質保証させる仕組みを作った話 / A story about building a mechanism to have AI ensure quality, because the code quality from Claude Code was inconsistent
Avatar for nrs nrslib
13
7.8k
AWSの資格って役に立つの?
Avatar for Hiroki Takatsuka tk3fftk
2
330
JAWSDAYS2026 [C02] 楽しく学ぼう!AWSとは?AWSの歴史 入門
Avatar for 平賀博司 hiragahh
0
150
Claude Code 2026年 最新アップデート
Avatar for Oikon oikon48
12
9.8k
タスク管理も1on1も、もう「管理」じゃない ― KiroとBedrock AgentCoreで変わった"判断の仕事"
Avatar for Yusuke Shimizu yusukeshimizu
6
2.6k
社内レビューは機能しているのか
Avatar for Jun Matsuba matsuba
0
120
元エンジニアPdM、IDEが恋しすぎてCursorに全業務を集約したら、スライド作成まで爆速になった話
Avatar for "doiko" chiaki_yamaguchi doiko123
1
630
OCHaCafe S11 #2 コンテナ時代の次の一手:Wasm 最前線
Avatar for oracle4engineer oracle4engineer
PRO
2
130
[2026-03-07]あの日諦めたスクラムの答えを僕達はまだ探している。〜守ることと、諦めることと、それでも前に進むチームの話〜
Avatar for tosite tosite
0
230
Oracle Cloud Infrastructure IaaS 新機能アップデート 2025/12 - 2026/2
Avatar for oracle4engineer oracle4engineer
PRO
0
130
[E2]CCoEはAI指揮官へ。Bedrock×MCPで構築するコスト・セキュリティ自律運用基盤
Avatar for ishii-takuya taku1418
0
160

Featured

See All Featured
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
72
12k
Kristin Tynski - Automating Marketing Tasks With AI
Avatar for Tech SEO Connect techseoconnect
PRO
0
190
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
1
1.2k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
290
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
220
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.4k
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
690
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
84
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
480
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
260

Transcript

  1. WordPressのセキュリティーについて考える 第20回WordBench羽田 開催日:2018年5月26日 Ryu

  2. 目次 • ユーザー名について • 投稿者(author)アーカイブについて • metaタグのname=“generator”について • ログイン画面について •

    「メタ情報」ウィジェットについて • プラグインの利用について • 「Captcha」プラグインにバックドア発見?

  3. ユーザー名について ユーザー名に分かりやすい名前を使用していませんか? ユーザー名はログイン時のログインIDとして使用されています。 管理者の名前や、分かりやすい名前を使用していると悪意のある攻撃者 にとって格好の餌食となってしまうかもしれません。 【対策方法】 ユーザー名は不規則な文字列を登録して、ユーザー名とは別のニック ネームを登録しましょう。 (ブログ上の表示名をニックネームに変更することも忘れずに・・・)

  4. 投稿者(author)アーカイブについて 使用するテーマにもよりますが、投稿者アーカイブでユーザー名が表示さ れる場合があります。 下記URLを入力すると投稿者アーカイブが表示されます。 https://example.com/?author=1 悪意のある攻撃者は、この仕組みを使ってアタックしてくることがあるよう です。 【対策方法】 投稿者アーカイブを生成しないようにすることで対策可能です。

  5. metaタグのname=“generator”について WordPressは、wp_head関数により以下のようなmetaタグを生成します。 <meta name="generator" content="WordPress 4.x.x" /> 悪意のある攻撃者にわざわざ以下の情報を提供する必要はありません。 (WordPressの脆弱性を利用したアタックを受ける可能性があるかもしれま せん)

    • WordPressを使用していること • WordPressのバージョン情報 【対策方法】 metaタグのname=“generator”の生成を止めることで対策可能です。

  6. ログイン画面について WordPressのログイン画面はデフォルトで以下のURLとなっておりますが、 悪意のある攻撃者ももちろんこのURLを知っていて、アタックしてきます。 https://example.com/wp-login.php 【対策方法】 • ユーザー名とパスワードの試行回数を制限する • アタックを検出した場合にログインを制限する •

    CAPTCHA(※)を利用する • ログイン画面のURLを変更する ※一般的なCAPTCHAの意味で、後述する「Captcha」プラグインとは別の ものです。

  7. 「メタ情報」ウィジェットについて WordPressをインストールすると、ウィジェットに「メタ情報」ウィジェットが登 録されていると思います。 「メタ情報」ウィジェットの「ログイン」が便利だからと言って残していません か? 悪意のある攻撃者にログイン画面へのリンクを提供する必要はないように 思います。 【対策方法】 不特定のユーザーがログインするようなWEBサイトの場合を除き、「メタ情 報」ウィジェットの利用はやめましょう。

  8. プラグインの利用について セキュリティーを強化するプラグインに「All In One WP Security」プラグイン があります。 今回、ご紹介した問題は全てこのプラグインで対策可能です。 この他にも様々なセキュリティー対策プラグインが公開されています。 使いやすいものを選んで対策してみてはいかがでしょうか。

  9. 「Captcha」プラグインにバックドア発見? 以前人気のあったプラグインにBestWebSoftの「Captcha」プラグインがあり ましたが、開発者が変更されバックドアが発見ようです。 現在公式サイトからの新規インストールが停止されているようです。 既存で「Captcha」プラグインを利用している場合にはアンインストールが 推奨されているようです。 ※Google Captcha (reCAPTCHA) by

    BestWebSoftとは別のプラグインのよ うです。

  10. おしまい ご清聴ありがとうございました。