WordCamp2015 LT...

48
WordPress+VPSで作られた Webサイトのセキュリティチェックポイントと WordPressの「Waltiプラグイン」について @fujisaki_hb WordCamp Tokyo 2015

Transcript of WordCamp2015 LT...

Page 1: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

WordPress+VPSで作られたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について

@fujisaki_hb

WordCamp Tokyo 2015

Page 2: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

こんなことは ありませんか?

Page 3: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

この要件はWordPressを カスタマイズしないと いけないぞ?

Page 4: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

WordPress用に サーバーを立てなきゃ

Page 5: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

そこで

Page 6: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

VPS・IaaS …etc

Page 7: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

やっぱりセキュリティ 心配ですよね?

Page 8: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

確認ポイント、3つ

Page 9: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

1. ファイアウォールの設定

Page 10: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

iptables, security group…etc

Page 11: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

設定後、 動作確認してますか?

Page 12: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

はい、80portアクセスできています。

Page 13: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

違います。

Page 14: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

TCP 80port 以外の 使っていないPortにアクセスできないことを確認していますか?

Page 15: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

確認方法

Page 16: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

ポートスキャン

Page 17: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

例)nmapコマンド

Page 18: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

# nmap hogehoge.com (略) PORT STATE SERVICE 80/tcp open http 443/tcp open https 8080/tcp open http-proxy 8443/tcp open https-alt

Page 19: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

でも、もうちょっと ちゃんとすると…

Page 20: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

# nmap -sS -sV -Pn -p 1-65535 hogehoge.com (略) PORT STATE SERVICE VERSION 80/tcp open http cloudflare-nginx 443/tcp open ssl/http cloudflare-nginx 2052/tcp open http cloudflare-nginx 2053/tcp open http cloudflare-nginx 2082/tcp open http cloudflare-nginx 2083/tcp open http cloudflare-nginx 2086/tcp open http cloudflare-nginx 2087/tcp open http cloudflare-nginx 2095/tcp open http cloudflare-nginx 2096/tcp open http cloudflare-nginx 8080/tcp open http cloudflare-nginx 8443/tcp open http cloudflare-nginx 8880/tcp open http cloudflare-nginx

Page 21: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

奥が深い。

Page 22: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

2. Webサーバの設定

Page 23: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

nginx/Apache 起動しました。php動くようにしました。

Page 24: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

設定に不足はないですか?

Page 25: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

確認したいよね!

Page 26: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

例)niktoコマンド

Page 27: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

Webサーバの設定を セキュリティ的な視点で チェックしてくれる優れモノ

Page 28: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

#perl nikto.pl -host http://hogehoge.com

Page 29: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

検出項目例) phpのversionを隠せているか

Page 30: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

3. WordPressに機能追加した部分の脆弱性

Page 31: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

脆弱性スキャンをどうしよう?

Page 32: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

例)OWASP ZAP skipfish WPScan

Page 33: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

Webアプリケーションの脆弱性を チェックしてくれる優れモノ

Page 34: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

# skipfish hogehoge.com

Page 35: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

意外と簡単ですが、ちゃんとやろうと思うと

試行錯誤が必要

Page 36: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

注意事項1

• WordPressの管理画面にログインして スキャンすると、CSSが書き換わっちゃう!

Page 37: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

注意事項2

• 更新系処理があるとスキャン用のデータが大量に書き込まれてしまう!

Page 38: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

注意事項3

• POSTを含むリクエストを含むので、問い合わせフォームがあると大量にメールが飛んでしまう!

Page 39: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

大切なことなので 頑張りましょう

Page 40: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

そんな方へお勧めしたいのが

Page 41: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

WordPressの 「Waltiプラグイン」

Page 42: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

Walti.ioと連携してWordPressのWebサイトに

簡単にセキュリティスキャンができる WordPressのプラグイン

Page 43: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

Walti.ioとはhttps://walti.io/

https://walti.io/
Page 44: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

Walti.ioでできること

- ファイアウォールのチェック - Webサーバの設定のチェック - SSL証明書のチェック - Webアプリのチェック

Page 45: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

Walti.ioを使うには

1) Walti.ioでアカウント登録、組織を作成

2) WaltiプラグインをWordPressに インストールして Walti.ioのAPIキーを設定

3) nmap/nikto/skipfish等でスキャンが可能

Page 46: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

Walti.ioの理念

• サーバーサイドのセキュリティスキャンを もっと身近に!

Page 47: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

OSSやWalti.ioを使ってWordPressで作られた Webサイト・システムにセキュリティスキャンを。

https://walti.io/

https://walti.io/
Page 48: WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

快適なWordPressライフを!


WordPressがつくりだすCSSを利用する 初級編

WordPressがつくりだすCSSを利用する 初級編

WordPress konfigurieren: Probekapitel aus "Das WordPress-Buch"

WordPress konfigurieren: Probekapitel aus "Das WordPress-Buch"

MEMBUAT WORDPRESS OFFLINE DI KOMPUTER ANDA (Wordpress ... · PDF fileMEMBUAT WORDPRESS OFFLINE DI ... pembuatan blog offline dengan menggunakan Wordpress versi ... halaman localhost

MEMBUAT WORDPRESS OFFLINE DI KOMPUTER ANDA (Wordpress ... · PDF fileMEMBUAT WORDPRESS OFFLINE DI ... pembuatan blog offline dengan menggunakan Wordpress versi ... halaman localhost

WordPressもくもく勉強会について― WordPressもくもく倶楽部 at コワーキングスペース 茅場町 Co-Edo

WordPressもくもく勉強会について― WordPressもくもく倶楽部 at コワーキングスペース 茅場町 Co-Edo

underscores (_s) を使おう! ― WordPressとおやつの会 Dec. 2012

underscores (_s) を使おう! ― WordPressとおやつの会 Dec. 2012

WordPressサイト静的化サービスの御紹介 › pdf › espar_summary_20191029.pdf · Webサーバやhttpプロトコル、PHP、WordPressの広範囲かつ高度な知識が必要。

WordPressサイト静的化サービスの御紹介 › pdf › espar_summary_20191029.pdf · Webサーバやhttpプロトコル、PHP、WordPressの広範囲かつ高度な知識が必要。

Arbeitshilfe zur Gottesdienstgestaltung · Arbeitshilfe zur Gottesdienstgestaltung von Christian Walti für Laienpredigerinnen und Laienprediger in der Reformierten Landeskirche Aargau

Arbeitshilfe zur Gottesdienstgestaltung · Arbeitshilfe zur Gottesdienstgestaltung von Christian Walti für Laienpredigerinnen und Laienprediger in der Reformierten Landeskirche Aargau

Basic WordPress¸„ู่มือwordpress.pdf · 2018-04-09 · Basic WordPress สร้างเว็บไซต์ด้วย WordPress 6มีเว็บไซต์ง่ายๆในไม่กี่ขั้นตอน

Basic WordPress¸„ู่มือwordpress.pdf · 2018-04-09 · Basic WordPress สร้างเว็บไซต์ด้วย WordPress 6มีเว็บไซต์ง่ายๆในไม่กี่ขั้นตอน

อบรม Basic WordPress Workshop · WordPress คืออะไร Wednesday, 27th August 2008 คู่มือ WordPress WordPress คือเป็นซอฟต์แวร์

อบรม Basic WordPress Workshop · WordPress คืออะไร Wednesday, 27th August 2008 คู่มือ WordPress WordPress คือเป็นซอฟต์แวร์

WordPress Cases met Koppelingen - WordPress Meetup Nijmegen

WordPress Cases met Koppelingen - WordPress Meetup Nijmegen

WordPress アップグレードについて知っておくこと

WordPress アップグレードについて知っておくこと

Internacionalización con WordPress (WordPress Euskadi 2014)

Internacionalización con WordPress (WordPress Euskadi 2014)

35 Jahre Föhn Transporte, Oberarthc1940652.r52.cf0.rackcdn.com/.../Fohn-Transporte_26-11-2016_low.pdf · BdU . SE ## GzD an Walti 640056 Benno PUBLIREPORTAGE Nähere Informationen

35 Jahre Föhn Transporte, Oberarthc1940652.r52.cf0.rackcdn.com/.../Fohn-Transporte_26-11-2016_low.pdf · BdU . SE ## GzD an Walti 640056 Benno PUBLIREPORTAGE Nähere Informationen

WordPress Développez avec PHP WordPress

WordPress Développez avec PHP WordPress

Warum WordPress Sicherung?. WordPress Backup Weshalb WordPress Datensicherung Wo ist WordPress angreifbar Was sind die Quellen der Angriffe Was können.

Warum WordPress Sicherung?. WordPress Backup Weshalb WordPress Datensicherung Wo ist WordPress angreifbar Was sind die Quellen der Angriffe Was können.

Wordpress on azure + how to use wordpress + power bi on wordpress

Wordpress on azure + how to use wordpress + power bi on wordpress

WordPress 3.5 目覚めし8つの新機能

WordPress 3.5 目覚めし8つの新機能

WordPress インストール&セットアップマニュアルmeta-paradigm-dynamics.net/wordpress-install-setup.pdf~WordPress インストール&セットアップマニュアル~

WordPress インストール&セットアップマニュアルmeta-paradigm-dynamics.net/wordpress-install-setup.pdf~WordPress インストール&セットアップマニュアル~

WORDPRESS İLE BLOG OLUŞTURMA WORDPRESS...Wordpress ile Blog Oluşturma Atatürk Üniversitesi Açıköğretim Fakültesi 3 Şekil 10.1. WordPress Blog hesabı almakta kullanılan

WORDPRESS İLE BLOG OLUŞTURMA WORDPRESS...Wordpress ile Blog Oluşturma Atatürk Üniversitesi Açıköğretim Fakültesi 3 Şekil 10.1. WordPress Blog hesabı almakta kullanılan

Tutorial WordPress: Kenapa Memilih WordPress?

Tutorial WordPress: Kenapa Memilih WordPress?