WordBench Osaka vol.22 WordPressのセキュリティ対策
31
デザイナーなりにやっている WordPressのセキュリティ対策 2013.10.19 石田 美穂
-
Upload
miho-ishida -
Category
Business
-
view
1.048 -
download
2
description
WordBench Osaka 第22回で行われた、WordPressのセキュリティ対策・座談会において、「デザイナーなりにやっているWordPressのセキュリティ対策」というタイトルでお話をしました。
Transcript of WordBench Osaka vol.22 WordPressのセキュリティ対策
デザイナーなりにやっているWordPressのセキュリティ対策
2013.10.19 石田 美穂
自己紹介
フリーランスのWEBデザイナーです。「イシダウェブ工房」の屋号にて個人で活動中のほか、「WEB制作会社 StudioBRAIN」のアシスタントとして、 いろんなWordPress案件に関わっています。趣味はネイルと園芸など。
ishidamiho
dk45blog
http://ishida-webkontor.com
http://www.studiobrain.net
facebooktwitterwebsite
石田 美穂 (いしだ みほ)
フォローしてくだ
さい★
1. インストールから運用編 WordPressをサーバにインストールしてから、
日々コンテンツを運用するときにやっていること。
2. 保守管理とバックアップ編 安全に運用できることを目的にやっているメンテナンス作業と
ハッキングや障害でサイトが無くなってしまった場合に備えてのバックアップ
3. 疑問編普段から、これはどうなんだろ?と疑問に思ってること
本日の内容
1. インストールから運用編
1. パスワード自動生成ツールを使う http://www.graviness.com/temp/pw_creator/
インストールから運用編
2. テーブルprefixをそのままにしない wp-config.phpの中にある設定項目。
そのままだとテーブルの構造が推測されやすいのかなと思い、なるべく
変えた方がいいような気がしています。
インストールから運用編
10/26 update! DBに入られてしまっている時点でもうアウトなので・・・これはやってもあまり意味ないそうですw
3. ログインIDはメールアドレスにする Force Email Loginを使うと、アカウントにひもづけられたメールアドレスが
ログインIDになるので推測されにくいはず。
http://wordpress.org/plugins/force-email-login/ by Takayuki Miyauchi
インストールから運用編
One more thing Gmailを使っていると、こんな事もできるので、
例えば管理者やユーザーでログインIDをわかりやすく区別もできる。
インストールから運用編
4. ログインを試みる回数をIPごとに制限する Limit Login Attempts プラグインで、規定の回数以上ログインに失敗すると
一定時間、ログインできないように制限する。 by johanee
http://wordpress.org/plugins/limit-login-attempts/ by johanee
インストールから運用編
5. ログイン履歴を記録する Crazy Bone プラグインでどんなログインがあったのか記録する。
もし不正ログインがあったとき、総当たりなのか、パスワード漏洩なの
か原因を突き止めるために効果があるはず。
http://wordpress.org/plugins/crazy-bone/ by wokamoto
インストールから運用編
昨日も世界各国から熱いアクセスありがとうございます!
インストールから運用編
6. 使っていないテーマやプラグインがあれば削除
そこを足がかりにハッキングされる事もあるのかなと思い、
入れたまま使ってないテーマやプラグインは削除。
インストールから運用編
7. 長いこと更新されていないプラグインや、野良テーマは使わ
ない。
インストールから運用編
インストールから運用編
8. 投稿やページの中でPHPは使わない。ショートコード化する。
/*ショートコードを登録*/
function shortcode_templateurl() { return get_bloginfo('template_url');
}
add_shortcode('template_url', 'shortcode_templateurl');
function shortcode_siteurl() { return get_bloginfo('siteurl');
}
add_shortcode('site_url', 'shortcode_siteurl');
/*ウィジェット内でショートコード使えるように*/add_filter('widget_text', 'do_shortcode');
<img src=”[template_url]/img/myphoto.png” />
ページの中でテンプレートディレクトリの中の画像を呼び出したい場合
例)よく使うやつ
2. 保守管理とバックアップ編
9. WP-DB Manager で毎日1回、データベースのバックアップ
をとる。同時にメールで自分に送る。 by Lester Chanhttp://wordpress.org/plugins/wp-dbmanager/ by Lester Chan
保守管理とバックアップ編
10. FTPを使って月1回、以下のバックアップをローカルにダウ
ンロードする。
保守管理とバックアップ編
wp-content/uploads ・・・ アップロードした写真
wp-content/themes ・・・ テーマファイル
保守管理とバックアップ編
BackWPup等、DBとファイルを一括でバックアップしてくれるプラグインもあります。http://wordpress.org/plugins/backwpup/
問題点:画像ファイルがものすごくたくさんあったりすると、転送途中でコケることも。。
11. wp-config.phpのパーミッションを400か404にする
保守管理とバックアップ編
そうすると、設定情報が悪意ある人から読み取られにくくなるそうです。
10/26 update! サーバの設定が適切な状態であれば、普通は気にする必要のない事だそうです。
12. wp-admin/install.phpを削除
保守管理とバックアップ編
インストールするときしか使わないそうなので、
うっかり実行して初期化しないように、一応消しとく。
13. FTPを使って月に一回、サーバの中の様子を見る。見慣れな
いファイルや不審なファイルが置かれていないか。
保守管理とバックアップ編
表の見た目に変化はなくても、悪意あるファイルが置かれて何か実行されているかもしれない><
10/26 update! wp-XXXXX みたいに、それっぽい名前のファイルを置かれてるケースもあるそうです。注意!
14. コアファイルやプラグインのアップデートが出たら、様子を
見ながら2週間以内くらいには実施する
保守管理とバックアップ編
すぐにするのは怖いから、周りの様子を見ながらやってみてます
(゚Д゚;≡;゚Д゚)
15. 詳しそうな人をフォローして、セキュリティに関心を持つ、
勉強する。
保守管理とバックアップ編
例えば・・・@tama200x
@miya0001
3. 疑問編
こんな感じのセキュリティ対策なんだけど、
足りない事とか、やっても意味ないこととか、
もっとこんな事やったほうがいい、とかありますか?
疑問編
10/26 update! table prefixを変えるのは、あまり意味ないかもね!
初心者だったらこのサーバがよい、とかありますか?
サーバ会社やプランによって安全度が違ったりとかするの?
○円以下のサーバだとダメ、とか
値段によって安全度はかわったりするのかな?
疑問編
10/26 update!
一概には言えないが・・・月額・数百円クラスのサーバだと、Apacheを大勢の他人と共有しているケースがほとんどで、他の人が高負荷な事をしていると影響されやすい等あります。
だからといって、サーバやインフラがわからず自分で管理できない人がVPSやクラウドに手を出すのは、セキュリティホールを作ってしまい危険なのでやめましょう。
レンタルサーバで提供されている、
WordPressのかんたんインストール機能って
使って大丈夫なのですか?
疑問編
10/26 update!
サーバやインフラがわからない人こそ、使いましょう!
そうすれば、自分の使っているレンタルサーバの環境に最適な設定で使えるはずです。
htmlエスケープっていうのをよく聞くけど、
実はよくわかっていません。。。
具体的にどういう処理をしていて、
することによってどう安全度が増すの?
疑問編
10/26 update!
本を読んでみたら?あとは書いたソースを晒していろんな人からツッコミを
もらうのが一番よい方法。
おすすめ本:・WordPress3.5対応 テーマカスタマイズのためPHP
・体系的に学ぶ安全なWebアプリケーションの作り方(通称:徳丸本)
復旧するとき、復旧データが安全かどうかってどう調べるの?
疑問編
10/26 update!
コアファイルに関しては、改ざんされているかどうか調べるプラグインがある。http://ja.forums.wordpress.org/topic/2743が、たいていの場合はテーマとプラグインに何か仕込まれることが多く、それを見抜くのはけっこう難しい。
改ざんされてしまったら、できればサーバを変え、FTPも変えたほうがいい。日時が特定できそうならそれ以前のデータを使う。
Vault PressのPremiumプラン毎日データのスキャンをしてもらえるが、月額40ドルと少しお高い。。
デザイナーのみなさん、
他にも日々疑問に思ってる事ありますよね?
今日は一緒に勉強しましょう!
おしまい
チームとして一緒に活動している今井さんがWordPressの本を出しました。
今日お話したセキュリティ対策の一部や、かんたんインストールを使ったサイト構築の方法についても掲載しています。
ちょこっとステマ
10日でおぼえる WordPress入門教室 第2版
