web屋が教えるWordPressのセキュリティー対策

web屋が教える WordPressのセキュリティー対策制作作業もこなすwebコンサルタント吉田哲也 @tetsu8yoshida

制作作業もこなすwebコンサルタント吉田哲也 2001年からWEB業界に携わり、主にWEB解析、コンサルティングをしつつ、マークアップ、CMSカスタマイズなど制作業務も行っています。手を動かさないと分からないアドバイス、スポットコンサル、リニューアル前のデータ収集。詳細はインタビュー記事参照。 @tetsu8yoshida

@tetsu8yoshida 趣味・サーフィン・ハワイ島旅行 ↓ 作業の効率化どこでも仕事出来る環境作り

セキュリティーの専門家ではありません

web制作者として「セキュリティーも対策してください」と言われたらどうするか

スライドは共有 @tetsu8yoshida 引用元、参考記事もツイートします

資料ダウンロード、参考記事一覧は bit.ly/wp20181124/ で。

Twitter実況大歓迎ハッシュタグは #ウェブ心理塾セミナー祭り

WordPressのセキュリティー対策

目次１．制作環境の変化２．セキュリティー被害３．WordPressの脆弱性と対策

制作環境の変化

AI AdobeMaxJapanにて撮影

Adobe Sensei

AI AdobeMaxJapanにて撮影 AdobeMaxJapanにて撮影

コンテンツに応じた塗りつぶし

AdobeMaxJapanにて撮影

AI+ 人力

LP制作

WordPress ＋ビジュアルエディター

今までの制作フローよろしく！

これからの制作フロー共有ツール＋簡単製作ツール

これからの制作フローこうしたほうが良いよ！こんな感じ？

webサイト運営上のセキュリティーリスク

web 改竄個人情報迷惑メール

web 改竄日本では月間１００件の被害報告

日本では２０１７年３８６件５１９万人個人情報

迷惑メールスパム送信の踏み台にされる ※件数調査中

WordPressサイト運営上リスク

サーバー Ver. ログイン

サーバー IDパスワード流出プログラム埋込情報共有

WordCampTokyo2018にて撮影 https://www.tetsuya.yoshida.name /web/wordpressserver2018/

サーバー完璧はない対応の速さ・透明さ

コアファイルプラグイン Ver.

バージョンアップ後は動作確認を！バックアップ取るとなお良し。

ログイン IDPW流出ログインURL

ログイン IDPW流出管理 SSL化推測しやすい設定

ログイン IDPW推測初期設定だと投稿者ID丸見え

ここの変更だけではダメ URLを書き出すスラッグ名も（プラグインなどで）

ログイン IDPW推測 ID分かれば推測は数秒 ※参考記事紹介

ログイン IDPW推測対策１．テンプレート調整対策２．プラグイン対策３．二段階認証対策４．ログイン回数制限

ログイン IDPW流出ログインURL

ログインログインURL これも初期設定だと・・・

ログインログインURL /wp-admin/

ログインログインURL 対策１．functions.php 対策２．プラグイン対策３．ベーシック認証対策４．IPアドレス制限

ビジネス情報発信複雑な設定＜

プラグインなら今すぐ対策可能

オススメは？

万能なのはナシ

ログインURL問題ログイン回数は SITE GUARD （日本語、無料）

ID問題は Edit Author Slug ※調査検証中

プラグイン導入後は動作確認を！

ブログ

独自ドメイン利用可能

WordPress使うなら WordPress.comも

まとめ・完璧はない。何層にも。・プラグインで。・WordPressである必要性

普段は有料です。どうしても対応出来ないご相談ください。質問箱は無料。

@tetsu8yoshida 懇親会・ブースでもお待ちしております。

@tetsu8yoshida WordPress MeetUPで情報収集

プラグインの使い方動画チュートリアル @tetsu8yoshida フォロワー限定告知

資料ダウンロード、参考記事一覧は bit.ly/wp20181124/ で。

@tetsu8yoshida ありがとうございました。

web屋が教えるWordPressのセキュリティー対策

web屋が教えるWordPressのセキュリティー対策

More Decks by Tetsuya Yoshida

Other Decks in Technology

Featured

Transcript