Upload
yoshinori-matsumoto
View
774
Download
0
Embed Size (px)
Citation preview
松本 悦宜(まつもとよしのり)
神戸デジタル・ラボ
セキュリティソリューション事業部
セキュリティ診断、WordPressなど
Hardening チーム「秘密結社にんじんしりしり」で参加してきました
Twitter : ym405nm
自己紹介
今日はWordPress関係の話をします
•いろいろ大事なスキルはあるけど、ECサイトを守るうえでWebの知識は必須スキルのうちの一つ!
•ここ2回WordPressがよく使われている
•次は出るかどうかわからないけど、復習という意味でWordPressまわりの話を簡単に解説します
なぜ?
(参考) 導入事例
Hardening 10 Value Chainショッピングサイト 6店舗
有効にしたら左のメニューが消えて他の機能が使えない!ク○がぁ!(多数)
ご利用者の声
おおむね好評を頂いたようです
Hardening と WordPress
EC – CUBE 時代2012年ごろ
http://www.atmarkit.co.jp/ait/articles/1212/10/news015.html
ZenCart時代2014年ごろ
http://www.atmarkit.co.jp/ait/articles/1407/09/news007.html
Market Place 導入
WordPress 時代2015年ごろ
http://www.atmarkit.co.jp/ait/articles/1507/13/news004.html
• WordPressにはEC関係の機能が全くない• 元々はブログソフトウェア
• WordPressでECサイトを運用する場合は専用のプラグインを使用する
• Hardeningで使用実績があるのは「Welcart」と呼ばれるプラグイン
WordPress で EC
•基本的には独自実装が多い
WordPressのEC
WordPress
Welcart
• 記事、ファイル管理• 管理者用画面
• 商品管理• 購入履歴管理• 顧客管理
個人情報の管理はむしろこっち
•ユーザ、パスワードのブルートフォース
WordPressの一般的なセキュリティ
• ほとんどのWordPresssサイトが同じ構造
• デフォルトでは、簡単な POST リクエスト1つでログイン可能
POST wp-login.php HTTP/1.1Host : example.com
Log ={username}&pwd={password}
•サードパーティの脆弱性
②データベース接続情報の不正取得
WordPressの一般的なセキュリティ
POST /wp-content/themes/dejavu/lib/scripts/dl-skin.php HTTP/1.1User-Agent: Mozilla/5.0 (X11; Linux amd64) AppleWebKit/534.36 (KHTML, like Gecko) Chrome/13.0.766.0 Safari/534.36Host: serverAccept-Encoding: gzipReferer: http://serverContent-Length: 60
_mysite_download_skin=..%2F..%2F..%2F..%2F..%2Fwp-config.php
wp-config.php の内容を読み取ろうとしている
• EC-CUBE3• 2015年、7年半ぶりに大型アップデート
• Doctrine、Twig、Silexなど信頼の高いフレームワークを使用
•セキュリティを意識した設計
•フレームワークに慣れていな人は、コア部分をいじりにくいかも
EC-CUBE3は競技には不向き
EC-CUBE?
• WordPress上で動くECプラグイン
•コア開発のWooThemesをAutomatticが買収
•現在、10,483,704ダウンロード(10月30日時点)
• magentoを抜いて世界で一番利用されているECシステム
•世界では現在月商数万ドル(数億円)以上の売上を上げているサイトも稼働している
WooCommerce
WooCommerceによるECサイト構築~WordPressを使った商品情報発信の新しいカタチ~https://www.prime-strategy.co.jp/resource/pdf/WordCampTokyo2015Woo.pdf
•MTも人気の高いCMSの一つ
Movable Type
ケータイキット for Movable Type にOS コマンドインジェクションの脆弱性https://jvn.jp/vu/JVNVU92116866/