Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Extreme Honyepotter
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
yoshinori matsumoto
October 05, 2017
Technology
870
0
Share
Extreme Honyepotter
WordPressよ永遠に
yoshinori matsumoto
October 05, 2017
More Decks by yoshinori matsumoto
See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
ym405nm
6
3.5k
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
ym405nm
0
320
Hack L33t Fighters Ⅱ #owaspsendai
ym405nm
0
400
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
ym405nm
1
720
CAPYのFIDOへの取り組み / Capy FIDO
ym405nm
0
200
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
ym405nm
1
1.7k
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
ym405nm
8
5.2k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
ym405nm
0
590
Other Decks in Technology
See All in Technology
Data Enabling Team立ち上げました
sansantech
PRO
0
290
2026年度新卒技術研修 サイバーエージェントのデータベース 活用事例とパフォーマンス調査入門
cyberagentdevelopers
PRO
3
4.4k
ASTのGitHub CopilotとCopilot CLIの現在地をお話しします/How AST Operates GitHub Copilot and Copilot CLI
aeonpeople
1
190
ログ基盤・プラグイン・ダッシュボード、全部整えた。でも最後は人だった。
makikub
5
1.1k
サイバーフィジカル社会とは何か / What Is a Cyber-Physical Society?
ks91
PRO
0
150
【関西電力KOI×VOLTMIND 生成AIハッカソン】空間AIブレイン ~⼤阪おばちゃんフィジカルAIに続く道~
tanakaseiya
0
180
チームで育てるAI自走環境_20260409
fuktig
0
930
MCPゲートウェイ MCPass の設計と実装 エンタープライズで AI を「運用できる」状態にする
mtpooh
1
170
Podcast配信で広がったアウトプットの輪~70人と音声発信してきた7年間~/outputconf_01
fortegp05
0
240
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
5
13k
ふりかえりがなかった職能横断チームにふりかえりを導入してみて学んだこと 〜チームのふりかえりを「みんなで未来を考える場」にするプロローグ設計〜
masahiro1214shimokawa
0
230
第26回FA設備技術勉強会 - Claude/Claude_codeでデータ分析 -
happysamurai294
0
390
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
528
40k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.7k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
140
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
140
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.4k
Documentation Writing (for coders)
carmenintech
77
5.3k
How GitHub (no longer) Works
holman
316
150k
ラッコキーワード サービス紹介資料
rakko
1
2.9M
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
150
How to Talk to Developers About Accessibility
jct
2
170
Building Flexible Design Systems
yeseniaperezcruz
330
40k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
Transcript
None
彡(゚)(゚) 今日の内容 • WordPressのセキュリティについて • WordPressの攻撃を集めてみた • WordPressの攻撃をExtremeに集める • 今後の展望
WordPressの セキュリティについて
彡(゚)(゚) WordPressとは • オープンソースのCMS • ユーザシェアが圧倒的に多い • ユーザが多い反面、セキュリティ面で狙われるこ とがあり、被害を受けているサイトが多い 全体シェア
マーケットシェア
彡(゚)(゚) WordPressの被害事例 • よく見られる改ざんパターン HACKED BY A HACKER <body><script…. ①
攻撃者の名前や主張が 表示される場合 ② JavaScript が埋め込まれる
彡(゚)(゚) WordPressの被害事例 踏み台サイト (WordPress) 攻撃者 標的となる組織 ①マルウエア設置 ②標的型メール送信 ③誘導
彡(゚)(゚) 開発者・運用者の悩み • セキュリティ設定とか見たけど結構大変だし、 うちの運用では使えないのもチラホラ… • プラグイン入れたけど、これで大丈夫か心配 • どのような攻撃があるのか知りたい 彡(^)(^)「せや!攻撃あつめたろ!」
WordPressの 攻撃を集めてみた
彡(゚)(゚) 作成したサイト • WordPressに対する攻撃を収集するツール • 攻撃を受けるWordPressを設置 • 実際はプロキシが全て取得してログを収集
彡(゚)(゚) 考慮すべきこと 通常のサーバ Web系の攻撃 WP サーバ / ネットワークに対する攻撃 広範囲で行われる IPアドレスを使用している
Webサーバに対する攻撃 使用するツール等を知っている (脆弱性を特定するため?)
彡(゚)(゚) 考慮すべきこと 通常のサーバ Web系の攻撃 WP 静的ページ WordPress にする必要がある! dst_port :
80
彡(゚)(゚) 考慮すべきこと • 攻撃を受け付けるサーバはWordPressである必要 がある • 何らかの方法で攻撃者に見つけてもらうサイトが 必要 “生きたサイト” を演じる
彡(゚)(゚) 生きたサイト • 自動的にサイトを更新 • 常に新しい情報を提供 13 Contents Websites RSS
Reader Scraping Tweet Post on WordPress
彡(゚)(゚) システム概要
彡(゚)(゚) 作成したサイト(つづき) • 会場のみ
集計データ 会場のみ
彡(゚)(゚) ファイルアップロード 画像 攻撃用 WordPress テーマ 攻撃者によるアップロード方法 外部からアクセス可能
彡(゚)(゚) ここまでの成果 • WordPressに対する攻撃を収集することができた • ログイン画面に対する総当たり攻撃 • テーマ、テーマプラグインに対する攻撃 (OSSのハニポログと比べて、攻撃者はWPと分かって 攻撃してるっぽい?)
Extreme に集める
彡(゚)(゚) すいません • ここから先は諸事情により公開できませんので、 かわりに私のクライマックスシリーズの予想を書 きたいと思います
彡(゚)(゚) CS2017予想 セ パ 1stステージ 阪神 西武 2ndステージ 広島 ソフトバンク
日本シリーズ 広島 – ソフトバンク (2勝 – 4勝) どのチームもがんばるたま~
彡(゚)(゚) 今後の課題 今後の課題 • データ収集して、分析 • セキュリティ研究者、WordPress運用者との連携
SiteGround - Reliable hosting with speed, security, and support you can count on.
ym405nm
sansantech
cyberagentdevelopers
aeonpeople
makikub
ks91
tanakaseiya
fuktig
mtpooh
fortegp05
oracle4engineer
masahiro1214shimokawa
happysamurai294
maltzj
jcasabona
techseoconnect
codingconduct
marcduiker
carmenintech
holman
rakko
jdejongh
jct
yeseniaperezcruz
tanoku
