$30 off During Our Annual Pro Sale. View Details »
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Wordpressのセキュリティーについて考える
Search
ryuh_a
May 26, 2018
Technology
0
210
Wordpressのセキュリティーについて考える
第20回WordBench羽田LT資料
開催日:2018年5月26日
ryuh_a
May 26, 2018
Tweet
Share
More Decks by ryuh_a
See All by ryuh_a
第18回WordBench羽田ーカスタムフィールドを活用しよう
ryuh_a
0
320
Other Decks in Technology
See All in Technology
Lessons from Migrating to OpenSearch: Shard Design, Log Ingestion, and UI Decisions
sansantech
PRO
1
120
WordPress は終わったのか ~今のWordPress の制作手法ってなにがあんねん?~ / Is WordPress Over? How We Build with WordPress Today
tbshiki
1
740
Ruby で作る大規模イベントネットワーク構築・運用支援システム TTDB
taketo1113
1
280
グレートファイアウォールを自宅に建てよう
ctes091x
0
150
AI-DLCを現場にインストールしてみた:プロトタイプ開発で分かったこと・やめたこと
recruitengineers
PRO
2
100
SSO方式とJumpアカウント方式の比較と設計方針
yuobayashi
7
620
[JAWS-UG 横浜支部 #91]DevOps Agent vs CloudWatch Investigations -比較と実践-
sh_fk2
2
250
5分で知るMicrosoft Ignite
taiponrock
PRO
0
360
非CUDAの悲哀 〜Claude Code と挑んだ image to 3D “Hunyuan3D”を EVO-X2(Ryzen AI Max+395)で動作させるチャレンジ〜
hawkymisc
2
180
[デモです] NotebookLM で作ったスライドの例
kongmingstrap
0
140
Debugging Edge AI on Zephyr and Lessons Learned
iotengineer22
0
180
初めてのDatabricks AI/BI Genie
taka_aki
0
140
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
285
14k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
37
2.6k
The Language of Interfaces
destraynor
162
25k
Become a Pro
speakerdeck
PRO
31
5.7k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
196
70k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
7.9k
Unsuck your backbone
ammeep
671
58k
Done Done
chrislema
186
16k
Visualization
eitanlees
150
16k
Balancing Empowerment & Direction
lara
5
800
Product Roadmaps are Hard
iamctodd
PRO
55
12k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Transcript
WordPressのセキュリティーについて考える 第20回WordBench羽田 開催日:2018年5月26日 Ryu
目次 • ユーザー名について • 投稿者(author)アーカイブについて • metaタグのname=“generator”について • ログイン画面について •
「メタ情報」ウィジェットについて • プラグインの利用について • 「Captcha」プラグインにバックドア発見?
ユーザー名について ユーザー名に分かりやすい名前を使用していませんか? ユーザー名はログイン時のログインIDとして使用されています。 管理者の名前や、分かりやすい名前を使用していると悪意のある攻撃者 にとって格好の餌食となってしまうかもしれません。 【対策方法】 ユーザー名は不規則な文字列を登録して、ユーザー名とは別のニック ネームを登録しましょう。 (ブログ上の表示名をニックネームに変更することも忘れずに・・・)
投稿者(author)アーカイブについて 使用するテーマにもよりますが、投稿者アーカイブでユーザー名が表示さ れる場合があります。 下記URLを入力すると投稿者アーカイブが表示されます。 https://example.com/?author=1 悪意のある攻撃者は、この仕組みを使ってアタックしてくることがあるよう です。 【対策方法】 投稿者アーカイブを生成しないようにすることで対策可能です。
metaタグのname=“generator”について WordPressは、wp_head関数により以下のようなmetaタグを生成します。 <meta name="generator" content="WordPress 4.x.x" /> 悪意のある攻撃者にわざわざ以下の情報を提供する必要はありません。 (WordPressの脆弱性を利用したアタックを受ける可能性があるかもしれま せん)
• WordPressを使用していること • WordPressのバージョン情報 【対策方法】 metaタグのname=“generator”の生成を止めることで対策可能です。
ログイン画面について WordPressのログイン画面はデフォルトで以下のURLとなっておりますが、 悪意のある攻撃者ももちろんこのURLを知っていて、アタックしてきます。 https://example.com/wp-login.php 【対策方法】 • ユーザー名とパスワードの試行回数を制限する • アタックを検出した場合にログインを制限する •
CAPTCHA(※)を利用する • ログイン画面のURLを変更する ※一般的なCAPTCHAの意味で、後述する「Captcha」プラグインとは別の ものです。
「メタ情報」ウィジェットについて WordPressをインストールすると、ウィジェットに「メタ情報」ウィジェットが登 録されていると思います。 「メタ情報」ウィジェットの「ログイン」が便利だからと言って残していません か? 悪意のある攻撃者にログイン画面へのリンクを提供する必要はないように 思います。 【対策方法】 不特定のユーザーがログインするようなWEBサイトの場合を除き、「メタ情 報」ウィジェットの利用はやめましょう。
プラグインの利用について セキュリティーを強化するプラグインに「All In One WP Security」プラグイン があります。 今回、ご紹介した問題は全てこのプラグインで対策可能です。 この他にも様々なセキュリティー対策プラグインが公開されています。 使いやすいものを選んで対策してみてはいかがでしょうか。
「Captcha」プラグインにバックドア発見? 以前人気のあったプラグインにBestWebSoftの「Captcha」プラグインがあり ましたが、開発者が変更されバックドアが発見ようです。 現在公式サイトからの新規インストールが停止されているようです。 既存で「Captcha」プラグインを利用している場合にはアンインストールが 推奨されているようです。 ※Google Captcha (reCAPTCHA) by
BestWebSoftとは別のプラグインのよ うです。
おしまい ご清聴ありがとうございました。
ryuh_a
sansantech
tbshiki
taketo1113
ctes091x
recruitengineers
yuobayashi
sh_fk2
taiponrock
hawkymisc
kongmingstrap
iotengineer22
taka_aki
stephaniewalter
eileencodes
destraynor
speakerdeck
soudai
ammeep
chrislema
eitanlees
lara
iamctodd
rocio
