Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WooCommerceのセキュリティ

 WooCommerceのセキュリティ

Woo EC Fes Japan 2020で登壇した際の資料です。

初心者向けにWooCommerceのセキュリティを解説しました。

ECサイトならではの注意点とWordPressとしてのセキュリティに関する内容です。

■ 参考URL

JP-Secure Labs Report Vol.05
https://siteguard.jp-secure.com/tech/jpsecure-labs/report05

ECサイト運営者の方にチェックしていただきたいポイント - 情報処理推進機構
https://www.ipa.go.jp/security/kojinjoho/ec.html

(2)強いパスワードとは - 情報処理推進機構
https://www.ipa.go.jp/security/txt/2008/10outline.html

安全なパスワード管理 - 総務省
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

■ ウェブ関連ニュースメルマガ発行してます
https://www.tetsuya.yoshida.name/newsletter/?utm_source=SpeakerDeck&utm_campaign=20201024wooecfes

Tetsuya Yoshida

October 24, 2020
Tweet

More Decks by Tetsuya Yoshida

Other Decks in Technology

Transcript

  1. WooCommerceの セキュリティ

  2. 制作作業もこなすwebコンサルタント 吉田哲也 2001年からウェブ業界に携わり、2002年に独立。 2006年法人化。 ウェブデザインやコーディング、CMSなどの制作業務から、 ウェブ解析、ウェブサイト構築・運用のコンサルテーション、 インターネット広告の運用代行など、 ウェブに関する多様な要望に幅広く対応。 制作や集客だけではなく、運用・保守など全ての業務を 俯瞰した視点での改善提案やアドバイザリーを行っている。

    @tetsu8yoshida https://tetsuya.yoshida.name/
  3. 制作作業もこなすwebコンサルタント 吉田哲也 神奈川WordPress Meetup 共同オーガナイザー。 WordCamp 羽田、 WordCamp 東京登壇。 @tetsu8yoshida

    https://tetsuya.yoshida.name/ WordPress セキュリティ大全出版
  4. 今回の目的 ・ セキュリティ対策の必要性 ・ セキュリティ対策と考え方 ・ 初心者でもすぐに対策を

  5. 専門用語

  6. None
  7. 書籍でも ・ 専門用語を避ける ・ どんな脆弱性に対応するのか ・ すぐに使える設定方法の説明書

  8. セキュリティ対策の必要性

  9. web 改竄 日本では 月間80件の 被害報告

  10. 日本では 2018年 443件 561万人 個人 情報

  11. None
  12. https://siteguard.jp-secure.com/tech/jpsecure-labs/report05

  13. https://siteguard.jp-secure.com/tech/jpsecure-labs/report05 検出総数3億3582万件(半年) 1日あたり約185万件の検出

  14. 小規模でも狙われる?

  15. None
  16. None
  17. None
  18. サイト規模に関わらず セキュリティ対応は必要

  19. ECサイトのセキュリティ

  20. セキュリティ対応 ・ 個人情報流出 ・ カード情報流出、不正利用 ・ サイトの改ざん

  21. https://www.ipa.go.jp/security/kojinjoho/ec.html

  22. セキュリティ対応 ・ 外注の契約内容 ・ 自社開発時の対策 ・ 脆弱性対応 ・ モールの対策 ・

    情報保管場所 ・ フィッシング対策 ・攻撃の把握
  23. WooCommerce

  24. WooCommerceのセキュリティ ・ WooCommerce ・ 関連プラグイン ・ WordPress ・ 決済サービス ・

    サーバー ・ 運用組織
  25. JVN iPedia 脆弱性対策情報データベース

  26. セキュリティ対策 ≠ 空き巣対策

  27. セキュリティ対策 WordPress サーバー その他 (組織・パスワード)

  28. 組織のセキュリティ対策

  29. セキュリティ対応 ・ 発注時の注意 ・ 脆弱性への対応 ・ パスワードなどの情報共有

  30. 情報共有 ・ メール、チャット ・ そこにIDパスワード? ・ そのログインはセキュア?

  31. https://www.ipa.go.jp/security/txt/2008/10outline.html

  32. http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html “パスワードを定期変更する必要はなく、 流出時に速やかに変更する旨が 示されています。“

  33. パスワード ・ 使いまわし厳禁 ・ 桁数、文字種 ・ 定期更新不要

  34. サーバー

  35. サーバーでできること ・ WAF ・ IP制限 ・ バックアップ ・ SSL ・

    FTPS/SFTP
  36. サーバーでできること ・ WAF ・ IP制限 ・ バックアップ ・ SSL ・

    FTPS/SFTP
  37. WAF Web Application Firewall

  38. https://www.xserver.ne.jp/manual/man_server_waf.php

  39. SSL Secure Sockets Layer Transport Layer Security

  40. None
  41. SSL化基本手順 1 レンタルサーバーの管理画面でSSLの設定 2 読み込む画像・ファイルのリンクを変更 3 http://→https://にリダイレクト(htaccess) 4 サーチコンソールの再設定 https://www.tetsuya.yoshida.name/web/sslsteps/

  42. WordPress SSL化注意点 ・ 画像、スクリプトのパス ・ プラグインの書き出すソース

  43. 混在コンテンツ ・ URLだけSSL ・ 警告表示 ・ 画像、スクリプトなどが非SSL

  44. https://japan.cnet.com/article/35143523/

  45. 混合コンテンツ確認方法 Chrome デベロッパーツール Console > Mixed Content

  46. None
  47. SSL関連記事 ・ SSLを設定したら最低限行うべき2個の項目 ・ WordPressをSSL化したらCSSが読み込まれない https://www.tetsuya.yoshida.name/web/wordpresssslcss/ https://www.tetsuya.yoshida.name/web/sslconfirm/

  48. 決済サービス

  49. 決済サービス ・ カード情報非保持化 ・ PCI DSS

  50. カード情報非保持化 ・ 改正割賦販売法 ・ ECは2018年3月末

  51. PCI DSS ・ グローバルセキュリティ基準

  52. WordPressの対策

  53. 6章

  54. 12の対策 ・ 何層にも行うもの ・ 対策されると破るの面倒

  55. WordPressでできること ・ プラグイン ・ パスワード ・ 更新

  56. Site Guard 英語苦手でも最低限入れてほしい (デモ)

  57. None
  58. Site Guard ・ ログインURL ・ ログイン試行回数制限 ・ 画像認証 ・ ログイン履歴

  59. セキュリティプラグインの脆弱性

  60. WordPressの更新

  61. 更新が必要な理由 ・ 不具合対策 ・ 脆弱性対策 ・ 機能追加

  62. 自動更新 ・ 3.7以降 ・ コアファイルのみ ・ マイナーアップデートのみ

  63. テーマ・プラグイン自動更新 ・ WordPress5.5から ・ 選択可能 ・ 挙動に影響少ないものは可

  64. 更新するのが怖い

  65. 更新不具合要因 ・ 更新中に停止 ・ PHPのバージョン(年末にはPHP7以上) ・ プラグイン同士の干渉 ・ カスタマイズと最新verの整合性 ・

    プラグインと最新コアの整合性
  66. 安全に更新するために ・ 不具合対応手順 ・ バックアップ

  67. 不具合対応手順 ・ 更新中に止まったら該当するものFTPで削除 ・ プラグイン全停止 → 一つずつ有効化 ・ 公式テーマで確認 ・

    デバッグモード(プロ向け?) ・ 不具合発生前のバックアップデータは重要
  68. バックアップ 補足

  69. バックアップ ・ ファイル自体 ・ データベース

  70. バックアップ FTPでダウンロード データベースをエクスポート

  71. ツール > エクスポート

  72. コアでも可能 ・ 手動 ・ メディアファイルは不可 ・ テーマは含まれない

  73. 選定基準 ・ エクスポート先 ・ 記事データのみ/ファイル込 ・ 最終更新日/インストール数

  74. None
  75. UpdraftPlus ・ Google ドライブに保存可能 ・ ファイルもバックアップ ・ 更新頻度高い

  76. None
  77. None
  78. ・ データベース ・ アップロードファイル ・ テーマ ・ プラグイン ・ その他(言語ファイルなど)

  79. バックアップ 復元の練習は重要

  80. 復元の練習 ・ 本番サイトでなくテストサイトで ・ テスト記事入れてバックアップ ・ WordPress再インストール&復元

  81. WooCommerce

  82. WooCommerce ・ 最新版を使う ・ 関連プラグインも更新 ・ カスタマイズは慎重に

  83. まとめ ・ セキュリティ対策は何重にも ・ パスワード重要 ・ 更新必須

  84. WordPress セキュリティ大全 販売中

  85. @tetsu8yoshida https://www.tetsuya.yoshida.name/newsletter/ ウェブ関連ニュースメルマガ 毎週月曜発行【無料】