$30 off During Our Annual Pro Sale. View Details »

Wordpressのセキュリティーについて考える

ryuh_a
May 26, 2018
Technology
0
150

 Wordpressのセキュリティーについて考える

第20回WordBench羽田LT資料
開催日:2018年5月26日

ryuh_a

May 26, 2018
Tweet

More Decks by ryuh_a

See All by ryuh_a
第18回WordBench羽田ーカスタムフィールドを活用しよう
ryuh_a
0
240

Other Decks in Technology

See All in Technology
テクニカルサポートに影響があったアップデート
uechishingo
0
420
Advice for Ruby beginners
sinsoku
2
190
EMになって半年でやったこと
yuu26
0
290
LINE NEWSにおけるJava移行の5年間の歩みとこれから / Five Years of Java Migration and the Future of LINE NEWS
line_developers
PRO
1
480
カンファレンス主催者から見た プロポーザルを通すコツ / How to hack the CfP
tomzoh
6
640
Webパフォーマンス高速化とこれからのアーキテクチャ
narirou
9
2.4k
Redshift Serverless vs Snowflake 徹底比較!
yummydum
0
130
ZOZOTOWNの商品検索におけるElasticsearch活用事例 / Elasticsearch Case Study in ZOZOTOWN Goods Search
banatt
0
110
パフォーマンス改善の役に立つ 知っていてほしい Snowflake の仕様 2 選 / BUILD.local Tokyo: LEGEND OF DATA HEROES
indigo13love
0
110
マニフェストレスで使える IaC・CI/CD のSaaSプロダクト化への挑戦
hrk091
1
230
Microsoft 365 マルチテナント問題と中国テナントから見る Microsoft Purview
seafay
PRO
0
230
OCI Search Service with OpenSearch ご紹介/search-service-overview
oracle4engineer
PRO
0
320

Featured

See All Featured
Gamification - CAS2011
davidbonilla
75
4k
How To Stay Up To Date on Web Technology
chriscoyier
779
250k
Faster Mobile Websites
deanohume
294
29k
Building Applications with DynamoDB
mza
84
4.9k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
236
1.1M
Bootstrapping a Software Product
garrettdimon
299
110k
10 Git Anti Patterns You Should be Aware of
lemiorhan
643
54k
How to train your dragon (web standard)
notwaldorf
64
4.1k
Writing Fast Ruby
sferik
613
57k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
317
19k
Unsuck your backbone
ammeep
658
55k
Agile that works and the tools we love
rasmusluckow
320
19k

Transcript

  1. WordPressのセキュリティーについて考える 第20回WordBench羽田 開催日:2018年5月26日 Ryu

  2. 目次 • ユーザー名について • 投稿者(author)アーカイブについて • metaタグのname=“generator”について • ログイン画面について •

    「メタ情報」ウィジェットについて • プラグインの利用について • 「Captcha」プラグインにバックドア発見?

  3. ユーザー名について ユーザー名に分かりやすい名前を使用していませんか? ユーザー名はログイン時のログインIDとして使用されています。 管理者の名前や、分かりやすい名前を使用していると悪意のある攻撃者 にとって格好の餌食となってしまうかもしれません。 【対策方法】 ユーザー名は不規則な文字列を登録して、ユーザー名とは別のニック ネームを登録しましょう。 (ブログ上の表示名をニックネームに変更することも忘れずに・・・)

  4. 投稿者(author)アーカイブについて 使用するテーマにもよりますが、投稿者アーカイブでユーザー名が表示さ れる場合があります。 下記URLを入力すると投稿者アーカイブが表示されます。 https://example.com/?author=1 悪意のある攻撃者は、この仕組みを使ってアタックしてくることがあるよう です。 【対策方法】 投稿者アーカイブを生成しないようにすることで対策可能です。

  5. metaタグのname=“generator”について WordPressは、wp_head関数により以下のようなmetaタグを生成します。 <meta name="generator" content="WordPress 4.x.x" /> 悪意のある攻撃者にわざわざ以下の情報を提供する必要はありません。 (WordPressの脆弱性を利用したアタックを受ける可能性があるかもしれま せん)

    • WordPressを使用していること • WordPressのバージョン情報 【対策方法】 metaタグのname=“generator”の生成を止めることで対策可能です。

  6. ログイン画面について WordPressのログイン画面はデフォルトで以下のURLとなっておりますが、 悪意のある攻撃者ももちろんこのURLを知っていて、アタックしてきます。 https://example.com/wp-login.php 【対策方法】 • ユーザー名とパスワードの試行回数を制限する • アタックを検出した場合にログインを制限する •

    CAPTCHA(※)を利用する • ログイン画面のURLを変更する ※一般的なCAPTCHAの意味で、後述する「Captcha」プラグインとは別の ものです。

  7. 「メタ情報」ウィジェットについて WordPressをインストールすると、ウィジェットに「メタ情報」ウィジェットが登 録されていると思います。 「メタ情報」ウィジェットの「ログイン」が便利だからと言って残していません か? 悪意のある攻撃者にログイン画面へのリンクを提供する必要はないように 思います。 【対策方法】 不特定のユーザーがログインするようなWEBサイトの場合を除き、「メタ情 報」ウィジェットの利用はやめましょう。

  8. プラグインの利用について セキュリティーを強化するプラグインに「All In One WP Security」プラグイン があります。 今回、ご紹介した問題は全てこのプラグインで対策可能です。 この他にも様々なセキュリティー対策プラグインが公開されています。 使いやすいものを選んで対策してみてはいかがでしょうか。

  9. 「Captcha」プラグインにバックドア発見? 以前人気のあったプラグインにBestWebSoftの「Captcha」プラグインがあり ましたが、開発者が変更されバックドアが発見ようです。 現在公式サイトからの新規インストールが停止されているようです。 既存で「Captcha」プラグインを利用している場合にはアンインストールが 推奨されているようです。 ※Google Captcha (reCAPTCHA) by

    BestWebSoftとは別のプラグインのよ うです。

  10. おしまい ご清聴ありがとうございました。