Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Extreme Honyepotter

Avatar for yoshinori matsumoto yoshinori matsumoto
October 05, 2017
Technology
0
870

Extreme Honyepotter

WordPressよ永遠に

Avatar for yoshinori matsumoto

yoshinori matsumoto

October 05, 2017
Tweet

More Decks by yoshinori matsumoto

See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
Avatar for yoshinori matsumoto ym405nm
6
3.5k
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
Avatar for yoshinori matsumoto ym405nm
0
310
Hack L33t Fighters Ⅱ #owaspsendai
Avatar for yoshinori matsumoto ym405nm
0
380
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
Avatar for yoshinori matsumoto ym405nm
1
710
CAPYのFIDOへの取り組み / Capy FIDO
Avatar for yoshinori matsumoto ym405nm
0
180
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
Avatar for yoshinori matsumoto ym405nm
1
1.7k
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
Avatar for yoshinori matsumoto ym405nm
8
5.1k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
Avatar for yoshinori matsumoto ym405nm
0
580

Other Decks in Technology

See All in Technology
あの夜、私たちは「人間」に戻った。 ── 災害ユートピア、贈与、そしてアジャイルの再構築 / 20260108 Hiromitsu Akiba
Avatar for SHIFT EVOLVE shift_evolve
PRO
0
390
2025年の医用画像AI/AI×medical_imaging_in_2025_generated_by_AI
Avatar for YoshihiroTodoroki tdys13
0
300
Contract One Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
12k
Bedrock AgentCore Evaluationsで学ぶLLM as a judge入門
Avatar for ShichijoYuhi shichijoyuhi
2
320
AI駆動開発ライフサイクル(AI-DLC)の始め方
Avatar for ryansbcho79 ryansbcho79
0
290
[Data & AI Summit '25 Fall] AIでデータ活用を進化させる!Google Cloudで作るデータ活用の未来
Avatar for kirimaru kirimaru
0
4.2k
RALGO : AIを組織に組み込む方法 -アルゴリズム中心組織設計- #RSGT2026 / RALGO: How to Integrate AI into an Organization – Algorithm-Centric Organizational Design
Avatar for kyonmm kyonmm
PRO
3
680
田舎で20年スクラム(後編):一個人が企業で長期戦アジャイルに挑む意味
Avatar for Tomonori Fukuta chinmo
1
1.1k
1万人を変え日本を変える!!多層構造型ふりかえりの大規模組織変革 / 20260108 Kazuki Mori
Avatar for SHIFT EVOLVE shift_evolve
PRO
5
710
First-Principles-of-Scrum
Avatar for Kenji Hiranabe hiranabe
3
1.2k
Java 25に至る道
Avatar for Yuichi.Sakuraba skrb
3
140
形式手法特論:コンパイラの「正しさ」は証明できるか? #burikaigi / BuriKaigi 2026
Avatar for y_taka_23 ytaka23
15
4k

Featured

See All Featured
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
0
1.9k
Darren the Foodie - Storyboard
Avatar for Kevinho.art khoart
PRO
1
2.1k
Ten Tips & Tricks for a 🌱 transition
Avatar for Manu Carrasco Molina stuffmc
0
47
<Decoding/> the Language of Devs - We Love SEO 2024
Avatar for Nikki Halliwell nikkihalliwell
1
110
Impact Scores and Hybrid Strategies: The future of link building
Avatar for Tamara Novitovic tamaranovitovic
0
180
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
32
2.8k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.8k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
Avatar for Mfonobong Umondia mfonobong
2
250
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
Avatar for Ryan Jones ryanjones
0
35
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.5k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k

Transcript

  1. None

  2. 彡(゚)(゚) 今日の内容 • WordPressのセキュリティについて • WordPressの攻撃を集めてみた • WordPressの攻撃をExtremeに集める • 今後の展望

  3. WordPressの セキュリティについて

  4. 彡(゚)(゚) WordPressとは • オープンソースのCMS • ユーザシェアが圧倒的に多い • ユーザが多い反面、セキュリティ面で狙われるこ とがあり、被害を受けているサイトが多い 全体シェア

    マーケットシェア

  5. 彡(゚)(゚) WordPressの被害事例 • よく見られる改ざんパターン HACKED BY A HACKER <body><script…. ①

    攻撃者の名前や主張が 表示される場合 ② JavaScript が埋め込まれる

  6. 彡(゚)(゚) WordPressの被害事例 踏み台サイト (WordPress) 攻撃者 標的となる組織 ①マルウエア設置 ②標的型メール送信 ③誘導

  7. 彡(゚)(゚) 開発者・運用者の悩み • セキュリティ設定とか見たけど結構大変だし、 うちの運用では使えないのもチラホラ… • プラグイン入れたけど、これで大丈夫か心配 • どのような攻撃があるのか知りたい 彡(^)(^)「せや!攻撃あつめたろ!」

  8. WordPressの 攻撃を集めてみた

  9. 彡(゚)(゚) 作成したサイト • WordPressに対する攻撃を収集するツール • 攻撃を受けるWordPressを設置 • 実際はプロキシが全て取得してログを収集

  10. 彡(゚)(゚) 考慮すべきこと 通常のサーバ Web系の攻撃 WP サーバ / ネットワークに対する攻撃 広範囲で行われる IPアドレスを使用している

    Webサーバに対する攻撃 使用するツール等を知っている (脆弱性を特定するため?)

  11. 彡(゚)(゚) 考慮すべきこと 通常のサーバ Web系の攻撃 WP 静的ページ WordPress にする必要がある! dst_port :

    80

  12. 彡(゚)(゚) 考慮すべきこと • 攻撃を受け付けるサーバはWordPressである必要 がある • 何らかの方法で攻撃者に見つけてもらうサイトが 必要 “生きたサイト” を演じる

  13. 彡(゚)(゚) 生きたサイト • 自動的にサイトを更新 • 常に新しい情報を提供 13 Contents Websites RSS

    Reader Scraping Tweet Post on WordPress

  14. 彡(゚)(゚) システム概要

  15. 彡(゚)(゚) 作成したサイト(つづき) • 会場のみ

  16. 集計データ 会場のみ

  17. 彡(゚)(゚) ファイルアップロード 画像 攻撃用 WordPress テーマ 攻撃者によるアップロード方法 外部からアクセス可能

  18. 彡(゚)(゚) ここまでの成果 • WordPressに対する攻撃を収集することができた • ログイン画面に対する総当たり攻撃 • テーマ、テーマプラグインに対する攻撃 (OSSのハニポログと比べて、攻撃者はWPと分かって 攻撃してるっぽい?)

  19. Extreme に集める

  20. 彡(゚)(゚) すいません • ここから先は諸事情により公開できませんので、 かわりに私のクライマックスシリーズの予想を書 きたいと思います

  21. 彡(゚)(゚) CS2017予想 セ パ 1stステージ 阪神 西武 2ndステージ 広島 ソフトバンク

    日本シリーズ 広島 – ソフトバンク (2勝 – 4勝) どのチームもがんばるたま~

  22. 彡(゚)(゚) 今後の課題 今後の課題 • データ収集して、分析 • セキュリティ研究者、WordPress運用者との連携