Word press セキュリティ show!!

WordPressセキュリティ Show !!

WordPress のセキュリティ対策ってホンマでっか？

ネタ振り編

アジェンダ

いろいろ言われてますが、「WordPressのセキュリティ」って今どうなってるの？？？というために。。。

最近の WordPress で起こっているセキュリティ事象や対策などを紹介

● はじめに● 最近のセキュリティ事例● 脆弱性がつくりこまれる原因と対策

はじめに

WordPress って

危ないから

Movaxx Type でいいやん

ﾄﾞﾔｧ

とか 言われてますが。。。

はじめに

WordPressやMovable Typeの古いバージョンを利用しているウェブサイトへの注意喚起

https://www.ipa.go.jp/security/topics/alert20130913.html

はじめに

WordPressが危ないと呼ばれているのは？

　止まらない脆弱性報告　気軽につくってしまうバグ　サードパーティのテーマ・プラグイン

　WordPressサイトを標的とした攻撃

危ないのはWordPressだけではなく他のCMSも同じでは？

WordPressを使わないという選択よりも

正しく使うことが重要

最近のセキュリティ事例

Hacked by Krad Xin

最近のセキュリティ事例

2013年8月「ロリポップ！レンタルサーバ」で大規模な改ざん事件が発生

公式発表によると対象となるサイトは 8,438 件サーバ運営側のパーミッションの設定不備によりデータベースへ侵入される

脆弱性が作りこまれる原因

開発上の問題

=> テーマ・プラグインの開発時のミス

=> 古いバージョンを使い続ける

運用上の問題

=> 管理画面の設定不備

=> ユーザ権限の設定不備

テーマ・プラグインの問題

使用しているサードパーティ製またはオリジナルのテーマ・プラグインにある脆弱性を使用してしまう

● 有料プラグイン＝安全？● 公式プラグイン＝安全？● テスト済み納品物＝安全？

　Webアプリの脆弱性対策がされているか。

テーマ・プラグインの脆弱性

よく使用される脆弱性

● XSS -> 攻撃者がJavaScriptを実行する● SQL インジェクション -> 攻撃者がSQLクエリを

実行する● CSRF -> 攻撃者がユーザにログイン後の操作

を強制的に行わせる

テーマ・プラグインの脆弱性

対策

● Webアプリケーションなどと同様、セキュリティ対策を行う

● WordPress で用意されているセキュリティ機能も使用する(esc_htmlなど)

● 規模や保持しているデータの機密性に応じてセキュリティチェックを受ける

Ref: IPA 安全な Web アプリケーションの作り方

https://www.ipa.go.jp/security/vuln/websecurity.html

古いバージョンを使い続ける

旧バージョンで脆弱性が報告されているバージョンを使用することにより、これらの脆弱性が狙われる

中には脆弱性を使用した攻撃コード（実証コード）が公開されているものや、攻撃者内で出回っているものがある。

古いバージョンを使い続ける

古いバージョンや、既知の脆弱性が記載されているサイト

● WordPress リリースノート● 更新がされていないプラグインの警告画面● JVNなどのポータルサイト

古いバージョンを使い続ける

対策

● WordPress、プラグイン、テーマなどの更新を必ず行う

● 自動アップデート機能も活用する

管理画面の設定不備

WordPress ではログインページの URL が固定であるため、ログイン画面が狙われる場合がある

「http://(任意のドメイン)/wp-admin」にアクセスすると、多くのサイトにおいて WordPress のログイン画面が表示される

管理画面の設定不備

対策

● ユーザ名を「admin」に固定してのパスワードの攻撃が行われる

● Google で 「inurl:wp-admin site:co.jp」などと検索するとログイン画面が公開しているページ情報を取得できる

管理画面の設定不備

対策

● 管理画面はSSL通信を必須にする● BASIC認証などアクセス制限をする● IPアドレスを制限する● ログインのログを記録しておく

ユーザ権限の設定不備

WordPress のユーザ権限が正しく設定されているか。

管理者権限があれば、任意のプラグインの適用・PHPのコード実行などサイトそのものの変更が可能になる

ユーザ権限の設定不備

管理者権限でできること

● テーマの変更● プラグインの有効/無効化● ユーザの編集● データのインポート・エクスポート● 新規投稿、投稿内容の編集● サイト情報の編集Ref: Roles and Capabilities http://codex.wordpress.org/Roles_and_Capabilities要は何でもできちゃいますね ^^;

ユーザ権限の設定不備

対策

● ユーザの見直し

　 (人数、権限、管理など)

まとめ

WordPressが危険ではなく、セキュリティ対策をしないまま開発・運用は危険です！！

本発表では、有効とされるセキュリティ対策の紹介しました。果たして、これらの方法は実用的なのか！？現場では？

　　つづきは ディスカッションへ!!