Submit Search
Upload
Wordpress secure
•
Download as PPTX, PDF
•
0 likes
•
1,093 views
Shinji Horiguchi
Follow
Nest Akabane IT study LT
Read less
Read more
Report
Share
Report
Share
1 of 14
Download now
Recommended
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
takahashi-yugo
PHP With Windows binary
PHP With Windows binary
Masahiko Sakamoto
Pukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTP
Kenichiro MATOHARA
修士論文ツール集
修士論文ツール集
政和 高橋
今のWeb開発者に伝えたいWebブラウザの病みの歴史
今のWeb開発者に伝えたいWebブラウザの病みの歴史
Sho Okada
Symfony開発者がLaravelしようとして云々
Symfony開発者がLaravelしようとして云々
mimizuk
Fuel php勉強会東京vol3 発表資料_スパムフィルタパッケージ
Fuel php勉強会東京vol3 発表資料_スパムフィルタパッケージ
web2citizen
DevEnv Tryit.vim Phrase.vim
DevEnv Tryit.vim Phrase.vim
t9md
Recommended
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
takahashi-yugo
PHP With Windows binary
PHP With Windows binary
Masahiko Sakamoto
Pukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTP
Kenichiro MATOHARA
修士論文ツール集
修士論文ツール集
政和 高橋
今のWeb開発者に伝えたいWebブラウザの病みの歴史
今のWeb開発者に伝えたいWebブラウザの病みの歴史
Sho Okada
Symfony開発者がLaravelしようとして云々
Symfony開発者がLaravelしようとして云々
mimizuk
Fuel php勉強会東京vol3 発表資料_スパムフィルタパッケージ
Fuel php勉強会東京vol3 発表資料_スパムフィルタパッケージ
web2citizen
DevEnv Tryit.vim Phrase.vim
DevEnv Tryit.vim Phrase.vim
t9md
LFF - digital photography and collection management 2008
LFF - digital photography and collection management 2008
Madeleine Schlawitz
Oefenzitting5
Oefenzitting5
BramKesteloot
Gov.uk Beta - Corporate platform
Gov.uk Beta - Corporate platform
UK Government Digital Service
Hertil og ikke længere – indtil videre
Hertil og ikke længere – indtil videre
Madeleine Schlawitz
Open Standards - Show and Tell September 2013
Open Standards - Show and Tell September 2013
UK Government Digital Service
Filmmuseet på de sociale medier March 2014
Filmmuseet på de sociale medier March 2014
Madeleine Schlawitz
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
UK Government Digital Service
Talons Out Honor Flight presentation Dan Moyle
Talons Out Honor Flight presentation Dan Moyle
Dan Moyle
Operational delivery mike bracken
Operational delivery mike bracken
UK Government Digital Service
The Single Domain -gov.uk beta
The Single Domain -gov.uk beta
UK Government Digital Service
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
UK Government Digital Service
Government Digital Service's Launch 8.12.11
Government Digital Service's Launch 8.12.11
UK Government Digital Service
ConCon Manchester: joining up the content
ConCon Manchester: joining up the content
UK Government Digital Service
Newcastle content meetup: user research and content design
Newcastle content meetup: user research and content design
UK Government Digital Service
G Cloud - ApplyCamp 2011-11-22
G Cloud - ApplyCamp 2011-11-22
UK Government Digital Service
Industry engagement event (London) 26 August 2015
Industry engagement event (London) 26 August 2015
UK Government Digital Service
ConCon Manchester: keynote
ConCon Manchester: keynote
UK Government Digital Service
How to write a good change request
How to write a good change request
UK Government Digital Service
PHP With Windows binary
PHP With Windows binary
Masahiko Sakamoto
Webデザイナーのためのphp wordpress
Webデザイナーのためのphp wordpress
galluda
PHPでセキュリティを真面目に考える
PHPでセキュリティを真面目に考える
Takuya Sato
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
Junichi Ishida
More Related Content
Viewers also liked
LFF - digital photography and collection management 2008
LFF - digital photography and collection management 2008
Madeleine Schlawitz
Oefenzitting5
Oefenzitting5
BramKesteloot
Gov.uk Beta - Corporate platform
Gov.uk Beta - Corporate platform
UK Government Digital Service
Hertil og ikke længere – indtil videre
Hertil og ikke længere – indtil videre
Madeleine Schlawitz
Open Standards - Show and Tell September 2013
Open Standards - Show and Tell September 2013
UK Government Digital Service
Filmmuseet på de sociale medier March 2014
Filmmuseet på de sociale medier March 2014
Madeleine Schlawitz
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
UK Government Digital Service
Talons Out Honor Flight presentation Dan Moyle
Talons Out Honor Flight presentation Dan Moyle
Dan Moyle
Operational delivery mike bracken
Operational delivery mike bracken
UK Government Digital Service
The Single Domain -gov.uk beta
The Single Domain -gov.uk beta
UK Government Digital Service
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
UK Government Digital Service
Government Digital Service's Launch 8.12.11
Government Digital Service's Launch 8.12.11
UK Government Digital Service
ConCon Manchester: joining up the content
ConCon Manchester: joining up the content
UK Government Digital Service
Newcastle content meetup: user research and content design
Newcastle content meetup: user research and content design
UK Government Digital Service
G Cloud - ApplyCamp 2011-11-22
G Cloud - ApplyCamp 2011-11-22
UK Government Digital Service
Industry engagement event (London) 26 August 2015
Industry engagement event (London) 26 August 2015
UK Government Digital Service
ConCon Manchester: keynote
ConCon Manchester: keynote
UK Government Digital Service
How to write a good change request
How to write a good change request
UK Government Digital Service
Viewers also liked
(18)
LFF - digital photography and collection management 2008
LFF - digital photography and collection management 2008
Oefenzitting5
Oefenzitting5
Gov.uk Beta - Corporate platform
Gov.uk Beta - Corporate platform
Hertil og ikke længere – indtil videre
Hertil og ikke længere – indtil videre
Open Standards - Show and Tell September 2013
Open Standards - Show and Tell September 2013
Filmmuseet på de sociale medier March 2014
Filmmuseet på de sociale medier March 2014
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
Talons Out Honor Flight presentation Dan Moyle
Talons Out Honor Flight presentation Dan Moyle
Operational delivery mike bracken
Operational delivery mike bracken
The Single Domain -gov.uk beta
The Single Domain -gov.uk beta
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
Government Digital Service's Launch 8.12.11
Government Digital Service's Launch 8.12.11
ConCon Manchester: joining up the content
ConCon Manchester: joining up the content
Newcastle content meetup: user research and content design
Newcastle content meetup: user research and content design
G Cloud - ApplyCamp 2011-11-22
G Cloud - ApplyCamp 2011-11-22
Industry engagement event (London) 26 August 2015
Industry engagement event (London) 26 August 2015
ConCon Manchester: keynote
ConCon Manchester: keynote
How to write a good change request
How to write a good change request
Similar to Wordpress secure
PHP With Windows binary
PHP With Windows binary
Masahiko Sakamoto
Webデザイナーのためのphp wordpress
Webデザイナーのためのphp wordpress
galluda
PHPでセキュリティを真面目に考える
PHPでセキュリティを真面目に考える
Takuya Sato
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
Junichi Ishida
PHP Now and then 2018 : WordPress Special Edition
PHP Now and then 2018 : WordPress Special Edition
Rui Hirokawa
Hybridauthで簡単に認証システム実装
Hybridauthで簡単に認証システム実装
Youhei Iwasaki
普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策
Kiyoshi SATOH
まだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LT
まだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LT
77web
Lt
Lt
LGA128
初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~
初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~
ceres-inc
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
Yuya Takeyama
Word pressのプラグインを翻訳してみませんか?
Word pressのプラグインを翻訳してみませんか?
Kayoko Furukawa
WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪
Kitani Kimiya
案件で使えるプラグイン特集
案件で使えるプラグイン特集
優也 田島
var dumpを使わないWordPress開発フロー
var dumpを使わないWordPress開発フロー
優也 田島
安全なテーマ作成のためのPHPの知識
安全なテーマ作成のためのPHPの知識
Fumito Mizuno
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
atk1234
Similar to Wordpress secure
(17)
PHP With Windows binary
PHP With Windows binary
Webデザイナーのためのphp wordpress
Webデザイナーのためのphp wordpress
PHPでセキュリティを真面目に考える
PHPでセキュリティを真面目に考える
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
PHP Now and then 2018 : WordPress Special Edition
PHP Now and then 2018 : WordPress Special Edition
Hybridauthで簡単に認証システム実装
Hybridauthで簡単に認証システム実装
普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策
まだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LT
まだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LT
Lt
Lt
初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~
初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
Word pressのプラグインを翻訳してみませんか?
Word pressのプラグインを翻訳してみませんか?
WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪
案件で使えるプラグイン特集
案件で使えるプラグイン特集
var dumpを使わないWordPress開発フロー
var dumpを使わないWordPress開発フロー
安全なテーマ作成のためのPHPの知識
安全なテーマ作成のためのPHPの知識
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
Wordpress secure
1.
PHP サービスを狙ったワームが増えてます
2012/03/09 Shinji Horiguchi
2.
ワームて? みみず、ヘビ、ムカデみたいな虫?
画像検索注意! ウィルスみたいなもの ウィルスは利用者がヘマこくと感染する ワームはセキュリティホールを狙う 利用者が何もしなくても感染する むしろ、セキュリティホールは日々見つかるため、何 もしなかったらそのうち必ず感染する
3.
PHP アプリ界隈では 利用者の意識が比較的低い
リテラシーが低いともいう PHP プログラムは簡単に実行できる アップローダなどで PHP をアップする Wordpress のテーマやプラグインに仕込む phpMyAdmin などを狙う パーミッションの設定など無くても動く 他の CGI は割と手動で設定が必要
4.
最近増えてます。 国内からワームらしいアクセスが多いです。
感染者が多い証拠 感染者も気づいていない とくに phpMyAdmin を狙ったワームがすごく増えま した。 昔から狙い撃ちされやすい phpMyAdmin に初心者の傾向
5.
感染してしまうと… サーバのデータを改変、削除されてしまう 他へ感染を広げようとしてしまう
DDoS に利用されてしまう 最近の例だと名古屋市役所のサイト 一台ではできなくても、感染したサーバを多数利用す ればできてしまう もしかしたら急におまわりさんが来て任意同行され るかも
6.
適当に設置してませんか? MySQL のユーザ作るときの権限
php スクリプトの置き場所 他人に使わせるときにテーマ編集できてしまったり HTTPS でないのに自宅外からログインしたり あんまり使わない phpMyAdmin を放置してたり。
7.
MySQL の権限 grant
で ALL にしない create select update insert delete で十分 *.* (全データベース)にしない 必ず使うデータベースだけ wordpress.* など。 複数の Wordpress サイトをまとめるときは特に要注意
8.
PHP 置き場所 利用するユーザは
Apache だけ Debian 系なら www-data Redhat 系なら Apache 不用意にディレクトリ全体を 777 とかにしてはダメ あらゆるファイルのアップロード先には注意する
9.
テーマ編集など なるべく他人にやらせない
テンプレートにコッソリワームを仕込むなど容易い 悪意がなくてもヘマする 不用意にテーマをインストールしてしまったり 入力フォームの追加などコピペで済ませたり プラグインも同じ。 プラグインそのものはもちろん、 記事内部に php 書けてしまうやつはかなり危険 この場合絶対に知らない人に使わせてはいけない
10.
HTTPS 云々 HTTPS
は暗号化されているのでひとまず安心 だけど、 HTTP の場合はモロバレ 特に WiFi フリースポットなど、悪意が無くてもロ グからログインパスワードなど見えてしまうことも。 外で使うスマホ、ノート PC で特に注意 3G から接続ならひとまず安心、だが油断しない。 サーバごと納品する場合はかならず SSL 証明書を買 う 証明書が正規のものであるかの説明も必須
11.
phpMyAdmin 便利で使ってる人も多いはず
たまにしか使わず放置してる人も多いはず 昔からこれを狙ったワームが多い セキュリティホールが多いため。 BASIC 認証や HTTPS オンリーにする 必ずアップデートする 使わないなら消す
12.
感染してるかどうか Top コマンドで
CPU 利用率など見る もしくは管理コンソールなどから。 ps –aux などで知らないプロセスが無いか見る 知らないファイルが増えていないか見る ちょっと膨大かも…
13.
感染してしまったら 基本的に諦め。サーバごと捨てよう
OS から再インストール 本当に必要なデータだけをバックアップ テーマなどの php コードは捨てる 記事本文や画像だけ残す 記事本体は編集履歴が残ってるので膨大な量 PHP コードを書けるプラグインを導入するときは、一緒に 感染している可能性もあるので良く目を通す サーバ運営の詳しい方に頼る 基本的にみなさんやさしいはずです!
14.
まとめ Wordpress 入門サイトなどもわりと適当にしか書い
ていないので良く自分で調べて設置しよう! 特にレンタルサーバごと納品する場合など要注意 (だと思われます) 気をつけるべき行為 自宅外から投稿 他人に使わせる(共同管理) プラグインやテーマなど良く入れ替える キーワード ワーム SQLインジェクション SSL
Download now