Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Extreme Honyepotter
Search
yoshinori matsumoto
October 05, 2017
Technology
0
870
Extreme Honyepotter
WordPressよ永遠に
yoshinori matsumoto
October 05, 2017
Tweet
Share
More Decks by yoshinori matsumoto
See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
ym405nm
6
3.5k
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
ym405nm
0
310
Hack L33t Fighters Ⅱ #owaspsendai
ym405nm
0
390
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
ym405nm
1
720
CAPYのFIDOへの取り組み / Capy FIDO
ym405nm
0
190
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
ym405nm
1
1.7k
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
ym405nm
8
5.1k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
ym405nm
0
580
Other Decks in Technology
See All in Technology
20260208_第66回 コンピュータビジョン勉強会
keiichiito1978
0
180
2026年、サーバーレスの現在地 -「制約と戦う技術」から「当たり前の実行基盤」へ- /serverless2026
slsops
2
260
コスト削減から「セキュリティと利便性」を担うプラットフォームへ
sansantech
PRO
3
1.5k
AzureでのIaC - Bicep? Terraform? それ早く言ってよ会議
torumakabe
1
580
登壇駆動学習のすすめ — CfPのネタの見つけ方と書くときに意識していること
bicstone
3
120
Webhook best practices for rock solid and resilient deployments
glaforge
2
300
コミュニティが変えるキャリアの地平線:コロナ禍新卒入社のエンジニアがAWSコミュニティで見つけた成長の羅針盤
kentosuzuki
0
120
こんなところでも(地味に)活躍するImage Modeさんを知ってるかい?- Image Mode for OpenShift -
tsukaman
1
160
Ruby版 JSXのRuxが気になる
sansantech
PRO
0
160
レガシー共有バッチ基盤への挑戦 - SREドリブンなリアーキテクチャリングの取り組み
tatsukoni
0
220
[CV勉強会@関東 World Model 読み会] Orbis: Overcoming Challenges of Long-Horizon Prediction in Driving World Models (Mousakhan+, NeurIPS 2025)
abemii
0
140
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
5
1.6k
Featured
See All Featured
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
94
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
apolaine
0
180
How to build a perfect <img>
jonoalderson
1
4.9k
Bash Introduction
62gerente
615
210k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
7.9k
Documentation Writing (for coders)
carmenintech
77
5.3k
What does AI have to do with Human Rights?
axbom
PRO
0
2k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
baasie
0
450
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
160
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
0
3.4k
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
110
Transcript
None
彡(゚)(゚) 今日の内容 • WordPressのセキュリティについて • WordPressの攻撃を集めてみた • WordPressの攻撃をExtremeに集める • 今後の展望
WordPressの セキュリティについて
彡(゚)(゚) WordPressとは • オープンソースのCMS • ユーザシェアが圧倒的に多い • ユーザが多い反面、セキュリティ面で狙われるこ とがあり、被害を受けているサイトが多い 全体シェア
マーケットシェア
彡(゚)(゚) WordPressの被害事例 • よく見られる改ざんパターン HACKED BY A HACKER <body><script…. ①
攻撃者の名前や主張が 表示される場合 ② JavaScript が埋め込まれる
彡(゚)(゚) WordPressの被害事例 踏み台サイト (WordPress) 攻撃者 標的となる組織 ①マルウエア設置 ②標的型メール送信 ③誘導
彡(゚)(゚) 開発者・運用者の悩み • セキュリティ設定とか見たけど結構大変だし、 うちの運用では使えないのもチラホラ… • プラグイン入れたけど、これで大丈夫か心配 • どのような攻撃があるのか知りたい 彡(^)(^)「せや!攻撃あつめたろ!」
WordPressの 攻撃を集めてみた
彡(゚)(゚) 作成したサイト • WordPressに対する攻撃を収集するツール • 攻撃を受けるWordPressを設置 • 実際はプロキシが全て取得してログを収集
彡(゚)(゚) 考慮すべきこと 通常のサーバ Web系の攻撃 WP サーバ / ネットワークに対する攻撃 広範囲で行われる IPアドレスを使用している
Webサーバに対する攻撃 使用するツール等を知っている (脆弱性を特定するため?)
彡(゚)(゚) 考慮すべきこと 通常のサーバ Web系の攻撃 WP 静的ページ WordPress にする必要がある! dst_port :
80
彡(゚)(゚) 考慮すべきこと • 攻撃を受け付けるサーバはWordPressである必要 がある • 何らかの方法で攻撃者に見つけてもらうサイトが 必要 “生きたサイト” を演じる
彡(゚)(゚) 生きたサイト • 自動的にサイトを更新 • 常に新しい情報を提供 13 Contents Websites RSS
Reader Scraping Tweet Post on WordPress
彡(゚)(゚) システム概要
彡(゚)(゚) 作成したサイト(つづき) • 会場のみ
集計データ 会場のみ
彡(゚)(゚) ファイルアップロード 画像 攻撃用 WordPress テーマ 攻撃者によるアップロード方法 外部からアクセス可能
彡(゚)(゚) ここまでの成果 • WordPressに対する攻撃を収集することができた • ログイン画面に対する総当たり攻撃 • テーマ、テーマプラグインに対する攻撃 (OSSのハニポログと比べて、攻撃者はWPと分かって 攻撃してるっぽい?)
Extreme に集める
彡(゚)(゚) すいません • ここから先は諸事情により公開できませんので、 かわりに私のクライマックスシリーズの予想を書 きたいと思います
彡(゚)(゚) CS2017予想 セ パ 1stステージ 阪神 西武 2ndステージ 広島 ソフトバンク
日本シリーズ 広島 – ソフトバンク (2勝 – 4勝) どのチームもがんばるたま~
彡(゚)(゚) 今後の課題 今後の課題 • データ収集して、分析 • セキュリティ研究者、WordPress運用者との連携
ym405nm
keiichiito1978
slsops
sansantech
torumakabe
bicstone
glaforge
kentosuzuki
tsukaman
tatsukoni
abemii
oracle4engineer
codingconduct
inesmontani
apolaine
jonoalderson
62gerente
eileencodes
carmenintech
axbom
baasie
cassininazir
katarinadahlin
pwiseman
