Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Wordpressのセキュリティーについて考える
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
ryuh_a
May 26, 2018
Technology
0
210
Wordpressのセキュリティーについて考える
第20回WordBench羽田LT資料
開催日:2018年5月26日
ryuh_a
May 26, 2018
Tweet
Share
More Decks by ryuh_a
See All by ryuh_a
第18回WordBench羽田ーカスタムフィールドを活用しよう
ryuh_a
0
320
Other Decks in Technology
See All in Technology
CDK対応したAWS DevOps Agentを試そう_20260201
masakiokuda
1
390
M&A 後の統合をどう進めるか ─ ナレッジワーク × Poetics が実践した組織とシステムの融合
kworkdev
PRO
1
490
【Ubie】AIを活用した広告アセット「爆速」生成事例 | AI_Ops_Community_Vol.2
yoshiki_0316
1
120
私たち準委任PdEは2つのプロダクトに挑戦する ~ソフトウェア、開発支援という”二重”のプロダクトエンジニアリングの実践~ / 20260212 Naoki Takahashi
shift_evolve
PRO
2
190
広告の効果検証を題材にした因果推論の精度検証について
zozotech
PRO
0
210
AIと新時代を切り拓く。これからのSREとメルカリIBISの挑戦
0gm
2
3.1k
AIエージェントを開発しよう!-AgentCore活用の勘所-
yukiogawa
0
180
Kiro IDEのドキュメントを全部読んだので地味だけどちょっと嬉しい機能を紹介する
khmoryz
0
210
SREのプラクティスを用いた3領域同時 マネジメントへの挑戦 〜SRE・情シス・セキュリティを統合した チーム運営術〜
coconala_engineer
2
760
~Everything as Codeを諦めない~ 後からCDK
mu7889yoon
3
480
1,000 にも届く AWS Organizations 組織のポリシー運用をちゃんとしたい、という話
kazzpapa3
0
140
生成AIを活用した音声文字起こしシステムの2つの構築パターンについて
miu_crescent
PRO
3
220
Featured
See All Featured
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
220
Measuring & Analyzing Core Web Vitals
bluesmoon
9
760
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
1.8k
The Power of CSS Pseudo Elements
geoffreycrofte
80
6.2k
The World Runs on Bad Software
bkeepers
PRO
72
12k
Everyday Curiosity
cassininazir
0
130
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.6k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.1k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
1.8k
AI: The stuff that nobody shows you
jnunemaker
PRO
2
270
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
So, you think you're a good person
axbom
PRO
2
1.9k
Transcript
WordPressのセキュリティーについて考える 第20回WordBench羽田 開催日:2018年5月26日 Ryu
目次 • ユーザー名について • 投稿者(author)アーカイブについて • metaタグのname=“generator”について • ログイン画面について •
「メタ情報」ウィジェットについて • プラグインの利用について • 「Captcha」プラグインにバックドア発見?
ユーザー名について ユーザー名に分かりやすい名前を使用していませんか? ユーザー名はログイン時のログインIDとして使用されています。 管理者の名前や、分かりやすい名前を使用していると悪意のある攻撃者 にとって格好の餌食となってしまうかもしれません。 【対策方法】 ユーザー名は不規則な文字列を登録して、ユーザー名とは別のニック ネームを登録しましょう。 (ブログ上の表示名をニックネームに変更することも忘れずに・・・)
投稿者(author)アーカイブについて 使用するテーマにもよりますが、投稿者アーカイブでユーザー名が表示さ れる場合があります。 下記URLを入力すると投稿者アーカイブが表示されます。 https://example.com/?author=1 悪意のある攻撃者は、この仕組みを使ってアタックしてくることがあるよう です。 【対策方法】 投稿者アーカイブを生成しないようにすることで対策可能です。
metaタグのname=“generator”について WordPressは、wp_head関数により以下のようなmetaタグを生成します。 <meta name="generator" content="WordPress 4.x.x" /> 悪意のある攻撃者にわざわざ以下の情報を提供する必要はありません。 (WordPressの脆弱性を利用したアタックを受ける可能性があるかもしれま せん)
• WordPressを使用していること • WordPressのバージョン情報 【対策方法】 metaタグのname=“generator”の生成を止めることで対策可能です。
ログイン画面について WordPressのログイン画面はデフォルトで以下のURLとなっておりますが、 悪意のある攻撃者ももちろんこのURLを知っていて、アタックしてきます。 https://example.com/wp-login.php 【対策方法】 • ユーザー名とパスワードの試行回数を制限する • アタックを検出した場合にログインを制限する •
CAPTCHA(※)を利用する • ログイン画面のURLを変更する ※一般的なCAPTCHAの意味で、後述する「Captcha」プラグインとは別の ものです。
「メタ情報」ウィジェットについて WordPressをインストールすると、ウィジェットに「メタ情報」ウィジェットが登 録されていると思います。 「メタ情報」ウィジェットの「ログイン」が便利だからと言って残していません か? 悪意のある攻撃者にログイン画面へのリンクを提供する必要はないように 思います。 【対策方法】 不特定のユーザーがログインするようなWEBサイトの場合を除き、「メタ情 報」ウィジェットの利用はやめましょう。
プラグインの利用について セキュリティーを強化するプラグインに「All In One WP Security」プラグイン があります。 今回、ご紹介した問題は全てこのプラグインで対策可能です。 この他にも様々なセキュリティー対策プラグインが公開されています。 使いやすいものを選んで対策してみてはいかがでしょうか。
「Captcha」プラグインにバックドア発見? 以前人気のあったプラグインにBestWebSoftの「Captcha」プラグインがあり ましたが、開発者が変更されバックドアが発見ようです。 現在公式サイトからの新規インストールが停止されているようです。 既存で「Captcha」プラグインを利用している場合にはアンインストールが 推奨されているようです。 ※Google Captcha (reCAPTCHA) by
BestWebSoftとは別のプラグインのよ うです。
おしまい ご清聴ありがとうございました。
ryuh_a
masakiokuda
kworkdev
yoshiki_0316
shift_evolve
zozotech
0gm
yukiogawa
khmoryz
coconala_engineer
mu7889yoon
kazzpapa3
miu_crescent
szymonslowik
bluesmoon
aleyda
geoffreycrofte
bkeepers
cassininazir
jcasabona
addyosmani
reverentgeek
jnunemaker
panda_program
axbom
