Download - 20150321 第 4 回 NAWA Tech ~東京・奉納祭~ kogesaka
自己紹介
こげさか (kogesaka)• オンライン、SNS で使用
• 小賀坂優 (Yu Kogasaka)
Microsoft MVP• System Center Cloud and Datacenter Management
(Jan 2012 - Dec 2014)
オンライン、SNS• Blog: 焦げlog (http://kogelog.com)
• Twitter: kogesaka (https://twitter.com/kogesaka/)
• Facebook: kogesaka (http://www.facebook.com/kogesaka)
2
以前のブログ• 無償利用可能な WordPress.com にて構築 (https://kogelog.wordpress.com)
独自ドメイン (kogelog.com) を取得、レンタルサーバー上にWordPress を構築、移行• レイアウトの変更、テーマの適用などカスタマイズが可能
• 様々なブラグインのインストール、利用が可能
• 広告の設定が可能
(局所的に) ブログの移行がブーム
最近ブログ移行しました
WordPress からの侵入経路について
WordPress の脆弱性への攻撃• バージョン表示の隠蔽
• 最新バージョンの適用
WordPress のテーマやプラグインの脆弱性への攻撃• 信頼できないテーマやプラグインは利用しない (公式のものを利用)
• 最新バージョンの適用
SQL インジェクション攻撃• テーブルプレフィックスの変更
ID・パスワードの取得を狙った総当たり攻撃による不正アクセス• 推測されやすいユーザーID、パスワードは避ける
• ログの確認
WordPress からの侵入経路について
WordPress の脆弱性への攻撃• バージョン表示の隠蔽
• 最新バージョンの適用
WordPress のテーマやプラグインの脆弱性への攻撃• 信頼できないテーマやプラグインは利用しない (公式のものを利用)
• 最新バージョンの適用
SQL インジェクション攻撃• テーブルプレフィックスの変更
ID・パスワードの取得を狙った総当たり攻撃による不正アクセス• 推測されやすいユーザーID、パスワードは避ける
• ログの確認
大多数を占める
WordPress の不正アクセス被害
レンタルサーバーに設置した WordPress の不正アクセス被害が後を絶ちません• NEWS|【重要なお知らせ】WordPressの不正アクセスの注意喚起- http://www.cpi.ad.jp/news/info/20130829.html
• レンタルサーバー「Bizメール&ウェブエコノミー」(お知らせ(【注意喚起】不正アクセスにご注意ください))|NTT Com 法人のお客さま- http://www.ntt.com/mw-eco/data/security01.html
• ロリポップ!、WordPress利用サイトで不正アクセスによる改ざん被害 -INTERNET Watch- http://internet.watch.impress.co.jp/docs/news/20130829_613274.html
対策は万全?
WordPress の脆弱性への攻撃• バージョン表示の隠蔽
• 最新バージョンの適用
WordPress のテーマやプラグインの脆弱性への攻撃• 信頼できないテーマやプラグインは利用しない (公式のものを利用)
• 最新バージョンの適用
SQL インジェクション攻撃• テーブルプレフィックスの変更
ID・パスワードの取得を狙った総当たり攻撃による不正アクセス• 推測されやすいユーザーID、パスワードは避ける
• ログの確認
具体的な対策方法は?
ログインページの強化
Basic 認証によるアクセス制限• 「.htaccess」および「.htpasswd」を作成、WordPress のログインページや管理画面ページに配置し、アクセスを制限する- WordPressの管理画面に制限をかける(ver3.5.1) | Gatespace's Blog
• http://gatespace.jp/2013/05/21/wp-admin-access-restriction-ver3-5-1/
- .htaccess ファイルを簡単作成「.htaccess Editor」
• http://www.htaccesseditor.com/#a_basic
• プラグインを用いて対策することも可能- WordPress › WP Admin Basic Auth « WordPress Plugins
• https://wordpress.org/plugins/wp-admin-basic-auth/
ログインページの強化
Google Authenticator プラグインを用いた 2 段階認証の設定• WordPress › Google Authenticator « WordPress Plugins- https://wordpress.org/plugins/google-authenticator/
不正アクセス対策
Jetpack プラグインのプロテクト機能を用いて総当たり攻撃の対策を行う• WordPress › Jetpack by WordPress.com « WordPress Plugins- https://wordpress.org/plugins/jetpack/
不正アクセス対策
Simple Login Lockdown プラグインを用いて総当たり攻撃の対策を行う• WordPress › Simple Login Lockdown « WordPress Plugins- https://wordpress.org/plugins/simple-login-lockdown/
ログインユーザー名の秘匿
既定では、投稿記事からログオンユーザー名が判別可能• ニックネームを設定して、投稿者の表示を変える
• 上記対策をしても「<サイト URL>/author/ログオンユーザー名」で判別可能
ログインユーザー名の秘匿
Edit Author Slug プラグインを用いて author のスラッグ名を変更• WordPress › Edit Author Slug « WordPress Plugins- https://wordpress.org/plugins/edit-author-slug/
ログイン履歴の確認
Crazy Bone プラグインをログイン履歴を確認• WordPress › Crazy Bone « WordPress Plugins
https://wordpress.org/plugins/crazy-bone/
• 他のプラグイン (Google Authenticator) との相性が悪く、ログインできなくなることがあるため、注意が必要
まとめ
WordPress における不正アクセス対策は必要
設定やプラグインを用いて適切に対処することが重要
WordPress だけではなく、サーバーへの接続を許可しているサービス、解放しているポートといった不正アクセス対策を行う必要がある
まとめ
WordPress における不正アクセス対策は必要
設定やプラグインを用いて適切に対処することが重要
WordPress だけではなく、サーバーへの接続を許可しているサービス、解放しているポートといった不正アクセス対策を行う必要がある
重要!!
参考 URL
WordPress › 日本語• https://ja.wordpress.org/
WordPress.com:無料のサイトやブログを作成• https://ja.wordpress.com/
FAQ/ハッキング・クラッキング被害 - WordPress Codex 日本語版• http://wpdocs.sourceforge.jp/FAQ/%E3%83%8F%E3%83%83%E3%82%AD%E
3%83%B3%E3%82%B0%E3%83%BB%E3%82%AF%E3%83%A9%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E8%A2%AB%E5%AE%B3
エックスサーバーマニュアル - WordPressセキュリティ設定• http://www.xserver.ne.jp/manual/man_server_wpsecurity.php
参考 URL
20140830_ホスティング事業者の視点からみた、WordPressのセキュリティ対策• http://www.slideshare.net/sakura_pr/20140830wordpress
国外IPアドレスフィルタ|さくらインターネット公式サポートサイト• https://help.sakura.ad.jp/app/answers/detail/a_id/2258
.ftpaccess でFTP接続元を制御する|さくらインターネット公式サポートサイト• https://help.sakura.ad.jp/app/answers/detail/a_id/2256/~/.ftpaccess-
%E3%81%A7ftp%E6%8E%A5%E7%B6%9A%E5%85%83%E3%82%92%E5%88%B6%E5%BE%A1%E3%81%99%E3%82%8B
安全なウェブサイトの作り方:IPA 独立行政法人情報処理推進機構• https://www.ipa.go.jp/security/vuln/websecurity.html