Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WooCommerceのセキュリティ

 WooCommerceのセキュリティ

Woo EC Fes Japan 2020で登壇した際の資料です。

初心者向けにWooCommerceのセキュリティを解説しました。

ECサイトならではの注意点とWordPressとしてのセキュリティに関する内容です。

■ 参考URL

JP-Secure Labs Report Vol.05
https://siteguard.jp-secure.com/tech/jpsecure-labs/report05

ECサイト運営者の方にチェックしていただきたいポイント - 情報処理推進機構
https://www.ipa.go.jp/security/kojinjoho/ec.html

(2)強いパスワードとは - 情報処理推進機構
https://www.ipa.go.jp/security/txt/2008/10outline.html

安全なパスワード管理 - 総務省
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

■ ウェブ関連ニュースメルマガ発行してます
https://www.tetsuya.yoshida.name/newsletter/?utm_source=SpeakerDeck&utm_campaign=20201024wooecfes

1dd011eddb94562cc8dbab3a1a728d40?s=128

Tetsuya Yoshida

October 24, 2020
Tweet

Transcript

  1. WooCommerceの セキュリティ

  2. 制作作業もこなすwebコンサルタント 吉田哲也 2001年からウェブ業界に携わり、2002年に独立。 2006年法人化。 ウェブデザインやコーディング、CMSなどの制作業務から、 ウェブ解析、ウェブサイト構築・運用のコンサルテーション、 インターネット広告の運用代行など、 ウェブに関する多様な要望に幅広く対応。 制作や集客だけではなく、運用・保守など全ての業務を 俯瞰した視点での改善提案やアドバイザリーを行っている。

    @tetsu8yoshida https://tetsuya.yoshida.name/
  3. 制作作業もこなすwebコンサルタント 吉田哲也 神奈川WordPress Meetup 共同オーガナイザー。 WordCamp 羽田、 WordCamp 東京登壇。 @tetsu8yoshida

    https://tetsuya.yoshida.name/ WordPress セキュリティ大全出版
  4. 今回の目的 ・ セキュリティ対策の必要性 ・ セキュリティ対策と考え方 ・ 初心者でもすぐに対策を

  5. 専門用語

  6. None
  7. 書籍でも ・ 専門用語を避ける ・ どんな脆弱性に対応するのか ・ すぐに使える設定方法の説明書

  8. セキュリティ対策の必要性

  9. web 改竄 日本では 月間80件の 被害報告

  10. 日本では 2018年 443件 561万人 個人 情報

  11. None
  12. https://siteguard.jp-secure.com/tech/jpsecure-labs/report05

  13. https://siteguard.jp-secure.com/tech/jpsecure-labs/report05 検出総数3億3582万件(半年) 1日あたり約185万件の検出

  14. 小規模でも狙われる?

  15. None
  16. None
  17. None
  18. サイト規模に関わらず セキュリティ対応は必要

  19. ECサイトのセキュリティ

  20. セキュリティ対応 ・ 個人情報流出 ・ カード情報流出、不正利用 ・ サイトの改ざん

  21. https://www.ipa.go.jp/security/kojinjoho/ec.html

  22. セキュリティ対応 ・ 外注の契約内容 ・ 自社開発時の対策 ・ 脆弱性対応 ・ モールの対策 ・

    情報保管場所 ・ フィッシング対策 ・攻撃の把握
  23. WooCommerce

  24. WooCommerceのセキュリティ ・ WooCommerce ・ 関連プラグイン ・ WordPress ・ 決済サービス ・

    サーバー ・ 運用組織
  25. JVN iPedia 脆弱性対策情報データベース

  26. セキュリティ対策 ≠ 空き巣対策

  27. セキュリティ対策 WordPress サーバー その他 (組織・パスワード)

  28. 組織のセキュリティ対策

  29. セキュリティ対応 ・ 発注時の注意 ・ 脆弱性への対応 ・ パスワードなどの情報共有

  30. 情報共有 ・ メール、チャット ・ そこにIDパスワード? ・ そのログインはセキュア?

  31. https://www.ipa.go.jp/security/txt/2008/10outline.html

  32. http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html “パスワードを定期変更する必要はなく、 流出時に速やかに変更する旨が 示されています。“

  33. パスワード ・ 使いまわし厳禁 ・ 桁数、文字種 ・ 定期更新不要

  34. サーバー

  35. サーバーでできること ・ WAF ・ IP制限 ・ バックアップ ・ SSL ・

    FTPS/SFTP
  36. サーバーでできること ・ WAF ・ IP制限 ・ バックアップ ・ SSL ・

    FTPS/SFTP
  37. WAF Web Application Firewall

  38. https://www.xserver.ne.jp/manual/man_server_waf.php

  39. SSL Secure Sockets Layer Transport Layer Security

  40. None
  41. SSL化基本手順 1 レンタルサーバーの管理画面でSSLの設定 2 読み込む画像・ファイルのリンクを変更 3 http://→https://にリダイレクト(htaccess) 4 サーチコンソールの再設定 https://www.tetsuya.yoshida.name/web/sslsteps/

  42. WordPress SSL化注意点 ・ 画像、スクリプトのパス ・ プラグインの書き出すソース

  43. 混在コンテンツ ・ URLだけSSL ・ 警告表示 ・ 画像、スクリプトなどが非SSL

  44. https://japan.cnet.com/article/35143523/

  45. 混合コンテンツ確認方法 Chrome デベロッパーツール Console > Mixed Content

  46. None
  47. SSL関連記事 ・ SSLを設定したら最低限行うべき2個の項目 ・ WordPressをSSL化したらCSSが読み込まれない https://www.tetsuya.yoshida.name/web/wordpresssslcss/ https://www.tetsuya.yoshida.name/web/sslconfirm/

  48. 決済サービス

  49. 決済サービス ・ カード情報非保持化 ・ PCI DSS

  50. カード情報非保持化 ・ 改正割賦販売法 ・ ECは2018年3月末

  51. PCI DSS ・ グローバルセキュリティ基準

  52. WordPressの対策

  53. 6章

  54. 12の対策 ・ 何層にも行うもの ・ 対策されると破るの面倒

  55. WordPressでできること ・ プラグイン ・ パスワード ・ 更新

  56. Site Guard 英語苦手でも最低限入れてほしい (デモ)

  57. None
  58. Site Guard ・ ログインURL ・ ログイン試行回数制限 ・ 画像認証 ・ ログイン履歴

  59. セキュリティプラグインの脆弱性

  60. WordPressの更新

  61. 更新が必要な理由 ・ 不具合対策 ・ 脆弱性対策 ・ 機能追加

  62. 自動更新 ・ 3.7以降 ・ コアファイルのみ ・ マイナーアップデートのみ

  63. テーマ・プラグイン自動更新 ・ WordPress5.5から ・ 選択可能 ・ 挙動に影響少ないものは可

  64. 更新するのが怖い

  65. 更新不具合要因 ・ 更新中に停止 ・ PHPのバージョン(年末にはPHP7以上) ・ プラグイン同士の干渉 ・ カスタマイズと最新verの整合性 ・

    プラグインと最新コアの整合性
  66. 安全に更新するために ・ 不具合対応手順 ・ バックアップ

  67. 不具合対応手順 ・ 更新中に止まったら該当するものFTPで削除 ・ プラグイン全停止 → 一つずつ有効化 ・ 公式テーマで確認 ・

    デバッグモード(プロ向け?) ・ 不具合発生前のバックアップデータは重要
  68. バックアップ 補足

  69. バックアップ ・ ファイル自体 ・ データベース

  70. バックアップ FTPでダウンロード データベースをエクスポート

  71. ツール > エクスポート

  72. コアでも可能 ・ 手動 ・ メディアファイルは不可 ・ テーマは含まれない

  73. 選定基準 ・ エクスポート先 ・ 記事データのみ/ファイル込 ・ 最終更新日/インストール数

  74. None
  75. UpdraftPlus ・ Google ドライブに保存可能 ・ ファイルもバックアップ ・ 更新頻度高い

  76. None
  77. None
  78. ・ データベース ・ アップロードファイル ・ テーマ ・ プラグイン ・ その他(言語ファイルなど)

  79. バックアップ 復元の練習は重要

  80. 復元の練習 ・ 本番サイトでなくテストサイトで ・ テスト記事入れてバックアップ ・ WordPress再インストール&復元

  81. WooCommerce

  82. WooCommerce ・ 最新版を使う ・ 関連プラグインも更新 ・ カスタマイズは慎重に

  83. まとめ ・ セキュリティ対策は何重にも ・ パスワード重要 ・ 更新必須

  84. WordPress セキュリティ大全 販売中

  85. @tetsu8yoshida https://www.tetsuya.yoshida.name/newsletter/ ウェブ関連ニュースメルマガ 毎週月曜発行【無料】