WooCommerceのセキュリティ

Transcript

1. WooCommerceの セキュリティ

2. 制作作業もこなすwebコンサルタント 吉田哲也 2001年からウェブ業界に携わり、2002年に独立。 2006年法人化。 ウェブデザインやコーディング、CMSなどの制作業務から、 ウェブ解析、ウェブサイト構築・運用のコンサルテーション、 インターネット広告の運用代行など、 ウェブに関する多様な要望に幅広く対応。 制作や集客だけではなく、運用・保守など全ての業務を 俯瞰した視点での改善提案やアドバイザリーを行っている。

   @tetsu8yoshida https://tetsuya.yoshida.name/

3. 制作作業もこなすwebコンサルタント 吉田哲也 神奈川WordPress Meetup 共同オーガナイザー。 WordCamp 羽田、 WordCamp 東京登壇。 @tetsu8yoshida

   https://tetsuya.yoshida.name/ WordPress セキュリティ大全出版

4. 今回の目的 ・ セキュリティ対策の必要性 ・ セキュリティ対策と考え方 ・ 初心者でもすぐに対策を

5. 専門用語

6. None

7. 書籍でも ・ 専門用語を避ける ・ どんな脆弱性に対応するのか ・ すぐに使える設定方法の説明書

8. セキュリティ対策の必要性

9. web 改竄 日本では 月間80件の 被害報告

10. 日本では ２０１8年 443件 ５61万人 個人 情報

11. None

12. https://siteguard.jp-secure.com/tech/jpsecure-labs/report05

13. https://siteguard.jp-secure.com/tech/jpsecure-labs/report05 検出総数3億3582万件（半年） 1日あたり約185万件の検出

14. 小規模でも狙われる？

15. None
16. None
17. None

18. サイト規模に関わらず セキュリティ対応は必要

19. ECサイトのセキュリティ

20. セキュリティ対応 ・ 個人情報流出 ・ カード情報流出、不正利用 ・ サイトの改ざん

21. https://www.ipa.go.jp/security/kojinjoho/ec.html

22. セキュリティ対応 ・ 外注の契約内容 ・ 自社開発時の対策 ・ 脆弱性対応 ・ モールの対策 ・

    情報保管場所 ・ フィッシング対策 ・攻撃の把握

23. WooCommerce

24. WooCommerceのセキュリティ ・ WooCommerce ・ 関連プラグイン ・ WordPress ・ 決済サービス ・

    サーバー ・ 運用組織

25. JVN iPedia　脆弱性対策情報データベース

26. セキュリティ対策 ≠ 空き巣対策

27. セキュリティ対策 WordPress サーバー その他 （組織・パスワード）

28. 組織のセキュリティ対策

29. セキュリティ対応 ・ 発注時の注意 ・ 脆弱性への対応 ・ パスワードなどの情報共有

30. 情報共有 ・ メール、チャット ・ そこにIDパスワード？ ・ そのログインはセキュア？

31. https://www.ipa.go.jp/security/txt/2008/10outline.html

32. http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html “パスワードを定期変更する必要はなく、 流出時に速やかに変更する旨が 示されています。“

33. パスワード ・ 使いまわし厳禁 ・ 桁数、文字種 ・ 定期更新不要

34. サーバー

35. サーバーでできること ・ WAF ・ IP制限 ・ バックアップ ・ SSL ・

    FTPS/SFTP

36. サーバーでできること ・ WAF ・ IP制限 ・ バックアップ ・ SSL ・

    FTPS/SFTP

37. WAF Web Application Firewall

38. https://www.xserver.ne.jp/manual/man_server_waf.php

39. SSL Secure Sockets Layer Transport Layer Security

40. None

41. SSL化基本手順 1 レンタルサーバーの管理画面でSSLの設定 2 読み込む画像・ファイルのリンクを変更 3 http://→https://にリダイレクト（htaccess） 4 サーチコンソールの再設定 https://www.tetsuya.yoshida.name/web/sslsteps/

42. WordPress SSL化注意点 ・ 画像、スクリプトのパス ・ プラグインの書き出すソース

43. 混在コンテンツ ・ URLだけSSL ・ 警告表示 ・ 画像、スクリプトなどが非SSL

44. https://japan.cnet.com/article/35143523/

45. 混合コンテンツ確認方法 Chrome デベロッパーツール Console > Mixed Content

46. None

47. SSL関連記事 ・ SSLを設定したら最低限行うべき2個の項目 ・ WordPressをSSL化したらCSSが読み込まれない https://www.tetsuya.yoshida.name/web/wordpresssslcss/ https://www.tetsuya.yoshida.name/web/sslconfirm/

48. 決済サービス

49. 決済サービス ・ カード情報非保持化 ・ PCI DSS

50. カード情報非保持化 ・ 改正割賦販売法 ・ ECは2018年3月末

51. PCI DSS ・ グローバルセキュリティ基準

52. WordPressの対策

53. 6章

54. 12の対策 ・ 何層にも行うもの ・ 対策されると破るの面倒

55. WordPressでできること ・ プラグイン ・ パスワード ・ 更新

56. Site Guard 英語苦手でも最低限入れてほしい （デモ）

57. None

58. Site Guard ・ ログインURL ・ ログイン試行回数制限 ・ 画像認証 ・ ログイン履歴

59. セキュリティプラグインの脆弱性

60. WordPressの更新

61. 更新が必要な理由 ・ 不具合対策 ・ 脆弱性対策 ・ 機能追加

62. 自動更新 ・ 3.7以降 ・ コアファイルのみ ・ マイナーアップデートのみ

63. テーマ・プラグイン自動更新 ・ WordPress5.5から ・ 選択可能 ・ 挙動に影響少ないものは可

64. 更新するのが怖い

65. 更新不具合要因 ・ 更新中に停止 ・ PHPのバージョン（年末にはPHP7以上） ・ プラグイン同士の干渉 ・ カスタマイズと最新verの整合性 ・

    プラグインと最新コアの整合性

66. 安全に更新するために ・ 不具合対応手順 ・ バックアップ

67. 不具合対応手順 ・ 更新中に止まったら該当するものFTPで削除 ・ プラグイン全停止 → 一つずつ有効化 ・ 公式テーマで確認 ・

    デバッグモード（プロ向け？） ・ 不具合発生前のバックアップデータは重要

68. バックアップ 補足

69. バックアップ ・ ファイル自体 ・ データベース

70. バックアップ FTPでダウンロード データベースをエクスポート

71. ツール ＞ エクスポート

72. コアでも可能 ・ 手動 ・ メディアファイルは不可 ・ テーマは含まれない

73. 選定基準 ・ エクスポート先 ・ 記事データのみ/ファイル込 ・ 最終更新日/インストール数

74. None

75. UpdraftPlus ・ Google ドライブに保存可能 ・ ファイルもバックアップ ・ 更新頻度高い

76. None
77. None

78. ・ データベース ・ アップロードファイル ・ テーマ ・ プラグイン ・ その他（言語ファイルなど）

79. バックアップ 復元の練習は重要

80. 復元の練習 ・ 本番サイトでなくテストサイトで ・ テスト記事入れてバックアップ ・ WordPress再インストール&復元

81. WooCommerce

82. WooCommerce ・ 最新版を使う ・ 関連プラグインも更新 ・ カスタマイズは慎重に

83. まとめ ・ セキュリティ対策は何重にも ・ パスワード重要 ・ 更新必須

84. WordPress セキュリティ大全 販売中

85. @tetsu8yoshida https://www.tetsuya.yoshida.name/newsletter/ ウェブ関連ニュースメルマガ 毎週月曜発行【無料】