Wordpressのセキュリティーについて考える

29488b25081807806dc8826f2a41b714?s=47 ryuh_a
May 26, 2018
Technology
0
110

 Wordpressのセキュリティーについて考える

第20回WordBench羽田LT資料
開催日:2018年5月26日

29488b25081807806dc8826f2a41b714?s=128

ryuh_a

May 26, 2018
Tweet

More Decks by ryuh_a

See All by ryuh_a
29488b25081807806dc8826f2a41b714?s=48 ryuh_a
0
200

Other Decks in Technology

See All in Technology
6fcdf8a60e6e2d5df378f716f4f6277a?s=48 puripuri2100
0
170
2dfb65b481d9e382551b76c7cb0b7c98?s=48 ishiagme
1
190
E481624463bdb1c97c46e2155408acb4?s=48 igorwojda
2
420
Cd891a89dfec6ca7bd278b5f5bd87c90?s=48 tzkoba
1
1.4k
A2cac4b3dcb2bc0b87917ddc034ef708?s=48 sansandsoc
2
110
8827303f1dc2bd94af6a68a258ef9fd4?s=48 abhaybhargav
0
460
E91a24de5f8858932171b35bd47c8485?s=48 rueian
0
350
D3f673bee1c7b59b8bdade8f6db61282?s=48 radiocat
1
140
9c8b8796250fd7562e5b807f97e651f2?s=48 mjzone
0
530
404139d782ec666acea93dffc86e089f?s=48 sylph01
0
140
7cd783377515bdf8207062840b7b2f4e?s=48 soracom
0
130
Ca6281fff64797dc419b78f51f25c0a5?s=48 fujiwara3
4
730

Featured

See All Featured
0c6fd6a08d0f898159cda7cafcacf07f?s=48 afnizarnur
176
14k
3d6ace9554821d552146413bcdf874f6?s=48 trishagee
18
1.5k
0bce06bd06ee7a2c4f5500f25dcf7f18?s=48 paulrobertlloyd
71
3.5k
B3d6434763caa0ef5dc4b792662c49f7?s=48 smashingmag
282
46k
15f2b8221f247985a27a627d2ece72f0?s=48 pauljervisheath
195
15k
F29327647a9cff5c69618bae420792ea?s=48 tenderlove
49
3.3k
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
52
4k
053e75a5b48b44d6dd0612795dfb326d?s=48 notwaldorf
2
1.2k
Ded01cdab114abe4ec13511e4c25b9bb?s=48 andyhume
61
2.4k
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
320
53k
6bb82b13cda86d3b821fa44100335ddf?s=48 thoeni
4
410
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
167
6.9k

Transcript

  1. WordPressのセキュリティーについて考える 第20回WordBench羽田 開催日:2018年5月26日 Ryu

  2. 目次 • ユーザー名について • 投稿者(author)アーカイブについて • metaタグのname=“generator”について • ログイン画面について •

    「メタ情報」ウィジェットについて • プラグインの利用について • 「Captcha」プラグインにバックドア発見?

  3. ユーザー名について ユーザー名に分かりやすい名前を使用していませんか? ユーザー名はログイン時のログインIDとして使用されています。 管理者の名前や、分かりやすい名前を使用していると悪意のある攻撃者 にとって格好の餌食となってしまうかもしれません。 【対策方法】 ユーザー名は不規則な文字列を登録して、ユーザー名とは別のニック ネームを登録しましょう。 (ブログ上の表示名をニックネームに変更することも忘れずに・・・)

  4. 投稿者(author)アーカイブについて 使用するテーマにもよりますが、投稿者アーカイブでユーザー名が表示さ れる場合があります。 下記URLを入力すると投稿者アーカイブが表示されます。 https://example.com/?author=1 悪意のある攻撃者は、この仕組みを使ってアタックしてくることがあるよう です。 【対策方法】 投稿者アーカイブを生成しないようにすることで対策可能です。

  5. metaタグのname=“generator”について WordPressは、wp_head関数により以下のようなmetaタグを生成します。 <meta name="generator" content="WordPress 4.x.x" /> 悪意のある攻撃者にわざわざ以下の情報を提供する必要はありません。 (WordPressの脆弱性を利用したアタックを受ける可能性があるかもしれま せん)

    • WordPressを使用していること • WordPressのバージョン情報 【対策方法】 metaタグのname=“generator”の生成を止めることで対策可能です。

  6. ログイン画面について WordPressのログイン画面はデフォルトで以下のURLとなっておりますが、 悪意のある攻撃者ももちろんこのURLを知っていて、アタックしてきます。 https://example.com/wp-login.php 【対策方法】 • ユーザー名とパスワードの試行回数を制限する • アタックを検出した場合にログインを制限する •

    CAPTCHA(※)を利用する • ログイン画面のURLを変更する ※一般的なCAPTCHAの意味で、後述する「Captcha」プラグインとは別の ものです。

  7. 「メタ情報」ウィジェットについて WordPressをインストールすると、ウィジェットに「メタ情報」ウィジェットが登 録されていると思います。 「メタ情報」ウィジェットの「ログイン」が便利だからと言って残していません か? 悪意のある攻撃者にログイン画面へのリンクを提供する必要はないように 思います。 【対策方法】 不特定のユーザーがログインするようなWEBサイトの場合を除き、「メタ情 報」ウィジェットの利用はやめましょう。

  8. プラグインの利用について セキュリティーを強化するプラグインに「All In One WP Security」プラグイン があります。 今回、ご紹介した問題は全てこのプラグインで対策可能です。 この他にも様々なセキュリティー対策プラグインが公開されています。 使いやすいものを選んで対策してみてはいかがでしょうか。

  9. 「Captcha」プラグインにバックドア発見? 以前人気のあったプラグインにBestWebSoftの「Captcha」プラグインがあり ましたが、開発者が変更されバックドアが発見ようです。 現在公式サイトからの新規インストールが停止されているようです。 既存で「Captcha」プラグインを利用している場合にはアンインストールが 推奨されているようです。 ※Google Captcha (reCAPTCHA) by

    BestWebSoftとは別のプラグインのよ うです。

  10. おしまい ご清聴ありがとうございました。