WordCamp Kansai 2014 セキュリティ&バックアップ
-
Upload
tomoyuki-sugita -
Category
Internet
-
view
11.149 -
download
8
description
Transcript of WordCamp Kansai 2014 セキュリティ&バックアップ
安全にWordPressを使う 誰でもできるセキュリティ&バックアップ
杉田 知至 Tomoyuki Sugita
WordCamp Kansai 2014
2014.6.7 ナレッジキャピタル カンファレンスルーム Tower C in GRAND FRONT OSAKA
自己紹介
About me
杉田 知至(クックビズ株式会社)tomotomosnippet.blogspot.jp @tomotomobile tomoyuki.sugita
職業:Growth Hacker趣味:WordPressプラグイン作成本当の趣味:懇親会(飲み会)
Tomoyuki SUGITA
キャンペーン管理が驚くほどカンタンに
キャンペーン管理が驚くほどカンタンに
DownloadNow!!
あんまりダウンロードされてませんw
お恥ずかしい
セキュリティ & バックアップ
Security
Back up
Permission
744
-rw-------
<?php echo esc_url( get_author_posts_url( $contributor_id ) ); ?>
Permission
744
-rw-------
<?php echo esc_url( get_author_posts_url( $contributor_id ) ); ?>
怖くないよ!
Not afraid
本セッションのテーマ
• プログラミングの話はしません!
• レンタルサーバーを想定したお話です
• ブロガー、ディレクター向けかも
• 社内外の資料として活用してOK
60% / 10,000,000
22%68
WordPress !
世界で最も使われているCMS
2014.06.01 http://w3techs.com/technologies/overview/content_management/all
古いバージョンには セキュリティーホールがある
http://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337http://codex.wordpress.org/WordPress_Versions
どれくらい 古いバージョンを
使っている人がいるの?
System Statisticshttp://wordpress.org/about/stats/
60% / 10,000,000
22%68
WordPressへのハッキング その原因は?
Cause of cracking
ハッキングされた原因• 4割がホスティング
• 3割がテーマのセキュリティ・ホール
• 2割がプラグインのセキュリティ・ホール
• 1割がパスワード
※2012年の情報です
http://refugeeks.com/wordpress-safety-security-infographic/
Case: Firstserver, Inc.
WordPress関連の改ざん事案は 過去半年間で約40件
改ざんされた結果…
5% vs 95%
約5% サイトが表示されない、表示が書き換わる !
約95% サイト表示には影響なく 大量のメール送信や外部への 攻撃スクリプトを設置され高負荷
サイトを変えて喜ぶイタズラ !
ほとんどがSPAMを送る踏み台に!!
http://www.si-jirei.jp/secure/laccolumn04/
高負荷
SPAMの踏み台
気づいてない人が多い!
本題
Main Subject
安全にWordPressを使う4つのポイント
1. パスワード
2. テーマ&プラグイン(公式ディレクトリ)
3. バックアップ
4. アップデート
パスワード
Password
パスワード
• ユーザ名「admin」使ってないですよね?
• ブルートフォースアタックは8文字以内
• 平文で保存してるサービスもあるから同じパスワードを使うと危険WPも暗号化してるよ
2013-04-24 07:29:02 admin:nevalidniipass 2013-04-24 07:29:14 admin:boboc 2013-04-24 07:29:26 admin:bonjovi 2013-04-24 07:29:37 admin:booboo 2013-04-24 07:29:50 admin:boule 2013-04-24 07:30:02 admin:bubbles 2013-04-24 07:30:21 admin:buh2 2013-04-24 07:30:33 admin:buldogue 2013-04-24 07:30:48 admin:bunny 2013-04-24 07:31:02 admin:buyuk 2013-04-24 07:31:13 admin:cekic 2013-04-24 07:31:25 admin:chico 2013-04-24 07:31:46 admin:chucky 2013-04-24 07:31:58 admin:ciclone 2013-04-24 07:32:11 admin:ciklon 2013-04-24 07:32:24 admin:cindy 2013-04-24 07:32:38 admin:clock
(後略)
http://firegoby.jp/archives/4395
(Password)nakuyouguisu
↓(md5)
c44f4da7a5d9c0bab452c834b6b76435
(Password)nakuyouguisu
↓(SHA1)
aae254b2dbf5ad8f028b7d5ccff034dfb3f05667
https://lastpass.com/
https://chrome.google.com/webstore/detail/lastpass-free-password-ma/hdokiejnpimakedhajhdlcegeplioahd?hl=ja
https://agilebits.com/onepassword
テーマ&プラグイン(公式ディレクトリ)
Themes & Plugin
テーマ(公式ディレクトリ)
• 公式ディレクトリと野良テーマ(公式)バグやセキュリティを厳しくチェック(野良)自分で責任取ってね
公式ディレクトリ
http://mignonstyle.com/chocolat/
https://themes.trac.wordpress.org/ticket/16538
ダメ出しが・・・
https://themes.trac.wordpress.org/ticket/16538
テーマ(公式ディレクトリ)
• どこからインストールできるの?
テーマ(公式ディレクトリ)
テーマ(公式ディレクトリ)
野良テーマ俺のテーマは安全だから大丈夫!
(俺調べ)
プラグイン(公式ディレクトリ)
• どこからインストールできるの?
プラグイン(公式ディレクトリ)
プラグイン(公式ディレクトリ)
バックアップ
Back up
バックアップ
• (前提)コンテンツはDBに保存している
WordCampに参加した 今日はグランフロントでセキュリティ&バックアップについてプレゼンをしてきました。 大人数の前で話して緊張しました。
投稿 データベース
バックアップ
• (前提)コンテンツはDBに保存している
• バックアップにはVaultPressを使いましょう
https://vaultpress.com/
https://vaultpress.com/plans/
無料のバックアップ プラグインあるでしょ?
無料のバックアッププラグイン
• リストアできませんので!
WordCampに参加した 今日はグランフロントでセキュリティ&バックアップについてプレゼンをしてきました。 大人数の前で話して緊張しました。
投稿 データベース
BackWPup?
BackWPup?
DB丸見えだから
エンジニアに頼みましょう
アップデート
Update
アップデート
http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/year-2014/Wordpress-Wordpress.html
自動アップデート
• WordPress 3.7バージョン以降(2013年10月24日リリース)マイナーバージョンは自動アップデート
• メジャーバージョンは設定すればできる
• Advanced Automatic Updates (オススメ)http://wordpress.org/plugins/automatic-updater/
自動アップデート
全部チェック
おまけ
WordPressとPHPバージョン
WordPressとPHPバージョン
• PHP5.3のサポートはそろそろ終わるよhttp://www.php.net/ChangeLog-5.php#5.3.28
• 企業ユーザーはアップデート検討してください
• 個人ユーザーはいっそのことWordPress.com
WordPress.com
http://ja.wordpress.com/
インフォグラフィック
GPLライセンスで公開http://git.io/wck2014graph GNU General Public License
ご清聴ありがとうございました