Wordbench fukuoka

22
WORDBENCH FUKUOKA 3.6回目 20139271

description

Wordbench fukuoka 3.6回目の発表資料。 主にWordPress設置時のパーミッション、lolipopでのWAFの利用。セキュリティ関連のプラグインの説明など。

Transcript of Wordbench fukuoka

Page 1: Wordbench fukuoka

WORDBENCH FUKUOKA3.6回目

2013年9月27日

1

Page 2: Wordbench fukuoka

• 万野 潤二

• minneチームの開発

• 以前はlolipopの開発など

• 個人活動

• Wordpress workshop(主に糸島方面で点々と)

• 糸島芸農(AAFプロジェクト)

2

Page 3: Wordbench fukuoka

3

Page 4: Wordbench fukuoka

WORDPRESSのパーミッション

• 8月下旬にロリポップに対する大規模な攻撃、サイトの改竄が発生。

• ロリポップレンタルサーバーへの攻撃を防ぐためにwp-config.phpのパーミッションを400に変更、install.phpを000に変更。またデータベースのパスワード変更実施など。

• Codex(http://wpdocs.sourceforge.jp/ファイルパーミッションの変更)にWordPressで推奨するパーミッション構成が記載されています。

• 400だと、所有者の読み込み権限のみ。ただし、これだと不都合がある。

4

Page 5: Wordbench fukuoka

WP-CONFIG.PHP

• wp-config.phpに設定を書き込む必要のあるプラグイン

•例えばwp super cacheの場合 、以下のような設定が必要となる(が、書けない)

define('WP_CACHE', true); define( 'WPCACHEHOME', '/home/users/1/lolipop.jp-manno/web/wbf0927/wp-content/plugins/wp-super-cache/' );

5

Page 6: Wordbench fukuoka

6

Page 7: Wordbench fukuoka

所有者に書き込み権限を付与する 600 rw-------

7

Page 8: Wordbench fukuoka

8

Page 9: Wordbench fukuoka

WAFの導入

• SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーション上の脆弱性をカバーする装置。WAFは通常のファイアウォールと同様にすべてのHTTP/HTTPSトラフィックを中継し、通信の内容を精査する。GNUライセンスの下で公開されているオープンソースのWebアプリケーションファイアウォール

9

Page 10: Wordbench fukuoka

ロリポップなら簡単に利用することが出来ます

10

Page 11: Wordbench fukuoka

ADMIN USER

• ユーザー名に”admin”であってはいけない by HostGatorhttp://blog.hostgator.com/2013/04/11/global-wordpress-brute-force-flood/

• ブルート・フォース・アタックの標的

• 管理者権限剥奪、権限悪用、個人情報漏洩...

• 攻撃されやすいユーザー名あるある

• admin, 123456, demo, administrator, root, webmaster, test...

11

Page 12: Wordbench fukuoka

GOOD BY ADMIN..

•作成されたアカウントadminは削除できない→ってワケでもない

• DBからアカウントをリネームはリスクが高い→これは避けたい

•解決してくれるのが Admin renamer extended

•文字通り簡単にリネームしてくれるプラグイン

12

Page 13: Wordbench fukuoka

13

Page 14: Wordbench fukuoka

Limit Login Attempts

• Wordpressは何度もログインに失敗してもリトライ制限はない。

• ブルートフォースアタックの格好の餌食になり易い。

• http://wordpress.org/plugins/limit-login-attempts/

• 機械攻撃を防止

• ログイン認証リトライ回数制限など

14

Page 15: Wordbench fukuoka

15

Page 16: Wordbench fukuoka

16

Page 17: Wordbench fukuoka

SI CAPTCHA Anti-Spam

• http://wordpress.org/plugins/si-captcha-for-wordpress/

•機械攻撃を防止

17

Page 18: Wordbench fukuoka

18

Page 19: Wordbench fukuoka

19

Page 20: Wordbench fukuoka

ThreeWP Activity Monitor

•ログイン履歴を管理するプラグイン

20

Page 21: Wordbench fukuoka

21

Page 22: Wordbench fukuoka

•セキュリティ対策はすごく大事。

•優良なセキュリティプラグインが充実している。

•使っていない方は早速導入してみましょう。

22