防御から謝罪まで

WordPressにヤマを貼るっ！

松本悦宜 @ ym405nm

公開版

•自己紹介

•背景

• HardeningとWordPressの関係

• WordPressでEC

•一般的なセキュリティ対策

•他の環境の注意事項

内容

松本 悦宜（まつもとよしのり）

神戸デジタル・ラボ

セキュリティソリューション事業部

セキュリティ診断、WordPressなど

Hardening チーム「秘密結社にんじんしりしり」で参加してきました

Twitter : ym405nm

自己紹介

背景

渋谷ギャル100人に聞きました

彼氏に持っててほしい Hardening スキル

今日はWordPress関係の話をします

•いろいろ大事なスキルはあるけど、ECサイトを守るうえでWebの知識は必須スキルのうちの一つ！

•ここ2回WordPressがよく使われている

•次は出るかどうかわからないけど、復習という意味でWordPressまわりの話を簡単に解説します

なぜ？

改ざん謝罪文自動生成WordPressプラグイン

WP-SORRY

WP Sorry もよろしく！

https://github.com/ym405nm/wp-sorry

WP-Sorryの使い方

改ざんされた場合あなたはすぐ謝罪できますか？

WP-Sorry

①プラグインを有効化

WP-Sorry②改ざんの状況をフォームに記載

③ショートコードで記載

(参考) 導入事例

Hardening 10 Value Chainショッピングサイト 6店舗

有効にしたら左のメニューが消えて他の機能が使えない！ク○がぁ！（多数）

ご利用者の声

おおむね好評を頂いたようです

WordPressとHardeningの関係

Hardening と WordPress

EC – CUBE 時代2012年ごろ

http://www.atmarkit.co.jp/ait/articles/1212/10/news015.html

ZenCart時代2014年ごろ

http://www.atmarkit.co.jp/ait/articles/1407/09/news007.html

Market Place 導入

WordPress 時代2015年ごろ

http://www.atmarkit.co.jp/ait/articles/1507/13/news004.html

WordPressでEC

• WordPressにはEC関係の機能が全くない• 元々はブログソフトウェア

• WordPressでECサイトを運用する場合は専用のプラグインを使用する

• Hardeningで使用実績があるのは「Welcart」と呼ばれるプラグイン

WordPress で EC

•基本的には独自実装が多い

WordPressのEC

WordPress

Welcart

• 記事、ファイル管理• 管理者用画面

• 商品管理• 購入履歴管理• 顧客管理

個人情報の管理はむしろこっち

•他のプラグインからアクセスできる

WordPressは「データベース単位」でアクセス制御しているため、「テーブル単位」ではアクセス制御できない

WordPressのEC

•WordPressだけでなく、ECパッケージ側の脆弱性にも注意してください！

脆弱性に注意

https://jvn.jp/jp/JVN43344629/index.html

一般的なWrodPressのセキュリティ対策

•ユーザ、パスワードのブルートフォース

WordPressの一般的なセキュリティ

• ほとんどのWordPresssサイトが同じ構造

• デフォルトでは、簡単な POST リクエスト1つでログイン可能

POST wp-login.php HTTP/1.1Host : example.com

Log ={username}&pwd={password}

•サードパーティの脆弱性

①任意ファイルのアップロード

WordPressの一般的なセキュリティ

画像

攻撃用

WordPress

プラグイン

外部からアクセス可能

•サードパーティの脆弱性

②データベース接続情報の不正取得

WordPressの一般的なセキュリティ

POST /wp-content/themes/dejavu/lib/scripts/dl-skin.php HTTP/1.1User-Agent: Mozilla/5.0 (X11; Linux amd64) AppleWebKit/534.36 (KHTML, like Gecko) Chrome/13.0.766.0 Safari/534.36Host: serverAccept-Encoding: gzipReferer: http://serverContent-Length: 60

_mysite_download_skin=..%2F..%2F..%2F..%2F..%2Fwp-config.php

wp-config.php の内容を読み取ろうとしている

•サードパーティの脆弱性

使わないプラグインのステータスに注意

WordPressの一般的なセキュリティ

有効

無効 削除

ファイル自体は残っている＝脆弱性が存在するかも

WP PORTAL って知ってますか？

https://wp-portal.net

国内のWordPressに対する攻撃情報が掲載されている

ssmjp 限定コンテンツ

会場限り

WordPressじゃなかった場合

• EC-CUBE2は過去にも使用されたため可能性はある

EC-CUBE？

• EC-CUBE3• 2015年、7年半ぶりに大型アップデート

• Doctrine、Twig、Silexなど信頼の高いフレームワークを使用

•セキュリティを意識した設計

•フレームワークに慣れていな人は、コア部分をいじりにくいかも

EC-CUBE3は競技には不向き

EC-CUBE？

• WordPress上で動くECプラグイン

•コア開発のWooThemesをAutomatticが買収

•現在、10,483,704ダウンロード(10月30日時点)

• magentoを抜いて世界で一番利用されているECシステム

•世界では現在月商数万ドル（数億円）以上の売上を上げているサイトも稼働している

WooCommerce

WooCommerceによるECサイト構築～WordPressを使った商品情報発信の新しいカタチ～https://www.prime-strategy.co.jp/resource/pdf/WordCampTokyo2015Woo.pdf

•MTも人気の高いCMSの一つ

Movable Type

ケータイキット for Movable Type にOS コマンドインジェクションの脆弱性https://jvn.jp/vu/JVNVU92116866/

何が出るかわからんっすわ

がんばってくださいー！

•WordPress今回も出るかも

•WordPressでECサイトの注意点

•一般的なセキュリティ対策

結論