SlideShare a Scribd company logo

Wordpress secure

Download as PPTX, PDF
Shinji Horiguchi
Shinji Horiguchi

Nest Akabane IT study LT

1 of 14
PHP サービスを狙ったワームが増えてます 2012/03/09 Shinji Horiguchi
ワームて?  みみず、ヘビ、ムカデみたいな虫?  画像検索注意!  ウィルスみたいなもの  ウィルスは利用者がヘマこくと感染する  ワームはセキュリティホールを狙う  利用者が何もしなくても感染する  むしろ、セキュリティホールは日々見つかるため、何 もしなかったらそのうち必ず感染する
PHP アプリ界隈では  利用者の意識が比較的低い  リテラシーが低いともいう  PHP プログラムは簡単に実行できる  アップローダなどで PHP をアップする  Wordpress のテーマやプラグインに仕込む  phpMyAdmin などを狙う  パーミッションの設定など無くても動く  他の CGI は割と手動で設定が必要
最近増えてます。  国内からワームらしいアクセスが多いです。  感染者が多い証拠  感染者も気づいていない  とくに phpMyAdmin を狙ったワームがすごく増えま した。  昔から狙い撃ちされやすい  phpMyAdmin に初心者の傾向
感染してしまうと…  サーバのデータを改変、削除されてしまう  他へ感染を広げようとしてしまう  DDoS に利用されてしまう  最近の例だと名古屋市役所のサイト  一台ではできなくても、感染したサーバを多数利用す ればできてしまう  もしかしたら急におまわりさんが来て任意同行され るかも
適当に設置してませんか?  MySQL のユーザ作るときの権限  php スクリプトの置き場所  他人に使わせるときにテーマ編集できてしまったり  HTTPS でないのに自宅外からログインしたり  あんまり使わない phpMyAdmin を放置してたり。
MySQL の権限  grant で ALL にしない  create select update insert delete で十分  *.* (全データベース)にしない  必ず使うデータベースだけ  wordpress.* など。  複数の Wordpress サイトをまとめるときは特に要注意
PHP 置き場所  利用するユーザは Apache だけ  Debian 系なら www-data  Redhat 系なら Apache  不用意にディレクトリ全体を 777 とかにしてはダメ  あらゆるファイルのアップロード先には注意する
テーマ編集など  なるべく他人にやらせない  テンプレートにコッソリワームを仕込むなど容易い  悪意がなくてもヘマする  不用意にテーマをインストールしてしまったり  入力フォームの追加などコピペで済ませたり  プラグインも同じ。  プラグインそのものはもちろん、  記事内部に php 書けてしまうやつはかなり危険  この場合絶対に知らない人に使わせてはいけない
HTTPS 云々  HTTPS は暗号化されているのでひとまず安心  だけど、 HTTP の場合はモロバレ  特に WiFi フリースポットなど、悪意が無くてもロ グからログインパスワードなど見えてしまうことも。  外で使うスマホ、ノート PC で特に注意  3G から接続ならひとまず安心、だが油断しない。  サーバごと納品する場合はかならず SSL 証明書を買 う  証明書が正規のものであるかの説明も必須
phpMyAdmin  便利で使ってる人も多いはず  たまにしか使わず放置してる人も多いはず  昔からこれを狙ったワームが多い  セキュリティホールが多いため。  BASIC 認証や HTTPS オンリーにする  必ずアップデートする  使わないなら消す
感染してるかどうか  Top コマンドで CPU 利用率など見る  もしくは管理コンソールなどから。  ps –aux などで知らないプロセスが無いか見る  知らないファイルが増えていないか見る  ちょっと膨大かも…
感染してしまったら  基本的に諦め。サーバごと捨てよう  OS から再インストール  本当に必要なデータだけをバックアップ  テーマなどの php コードは捨てる  記事本文や画像だけ残す  記事本体は編集履歴が残ってるので膨大な量  PHP コードを書けるプラグインを導入するときは、一緒に 感染している可能性もあるので良く目を通す  サーバ運営の詳しい方に頼る  基本的にみなさんやさしいはずです!
まとめ  Wordpress 入門サイトなどもわりと適当にしか書い ていないので良く自分で調べて設置しよう!  特にレンタルサーバごと納品する場合など要注意 (だと思われます)  気をつけるべき行為  自宅外から投稿  他人に使わせる(共同管理)  プラグインやテーマなど良く入れ替える  キーワード  ワーム SQLインジェクション SSL

Recommended

マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)takahashi-yugo
 
PHP With Windows binary
PHP With Windows binaryPHP With Windows binary
PHP With Windows binaryMasahiko Sakamoto
 
Pukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTPPukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTPKenichiro MATOHARA
 
修士論文ツール集
修士論文ツール集修士論文ツール集
修士論文ツール集政和 高橋
 
今のWeb開発者に伝えたいWebブラウザの病みの歴史
今のWeb開発者に伝えたいWebブラウザの病みの歴史今のWeb開発者に伝えたいWebブラウザの病みの歴史
今のWeb開発者に伝えたいWebブラウザの病みの歴史Sho Okada
 
Symfony開発者がLaravelしようとして云々
Symfony開発者がLaravelしようとして云々Symfony開発者がLaravelしようとして云々
Symfony開発者がLaravelしようとして云々mimizuk
 
Fuel php勉強会東京vol3 発表資料_スパムフィルタパッケージ
Fuel php勉強会東京vol3 発表資料_スパムフィルタパッケージFuel php勉強会東京vol3 発表資料_スパムフィルタパッケージ
Fuel php勉強会東京vol3 発表資料_スパムフィルタパッケージweb2citizen
 
DevEnv Tryit.vim Phrase.vim
DevEnv Tryit.vim Phrase.vimDevEnv Tryit.vim Phrase.vim
DevEnv Tryit.vim Phrase.vimt9md
 

Recommended

マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)takahashi-yugo
 
PHP With Windows binary
PHP With Windows binaryPHP With Windows binary
PHP With Windows binaryMasahiko Sakamoto
 
Pukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTPPukiwiki コメントスパム対策 / 電波時計で NTP
Pukiwiki コメントスパム対策 / 電波時計で NTPKenichiro MATOHARA
 
修士論文ツール集
修士論文ツール集修士論文ツール集
修士論文ツール集政和 高橋
 
今のWeb開発者に伝えたいWebブラウザの病みの歴史
今のWeb開発者に伝えたいWebブラウザの病みの歴史今のWeb開発者に伝えたいWebブラウザの病みの歴史
今のWeb開発者に伝えたいWebブラウザの病みの歴史Sho Okada
 
Symfony開発者がLaravelしようとして云々
Symfony開発者がLaravelしようとして云々Symfony開発者がLaravelしようとして云々
Symfony開発者がLaravelしようとして云々mimizuk
 
Fuel php勉強会東京vol3 発表資料_スパムフィルタパッケージ
Fuel php勉強会東京vol3 発表資料_スパムフィルタパッケージFuel php勉強会東京vol3 発表資料_スパムフィルタパッケージ
Fuel php勉強会東京vol3 発表資料_スパムフィルタパッケージweb2citizen
 
DevEnv Tryit.vim Phrase.vim
DevEnv Tryit.vim Phrase.vimDevEnv Tryit.vim Phrase.vim
DevEnv Tryit.vim Phrase.vimt9md
 
LFF - digital photography and collection management 2008
LFF - digital photography and collection management 2008LFF - digital photography and collection management 2008
LFF - digital photography and collection management 2008Madeleine Schlawitz
 
Oefenzitting5
Oefenzitting5Oefenzitting5
Oefenzitting5BramKesteloot
 
Gov.uk Beta - Corporate platform
Gov.uk Beta - Corporate platform Gov.uk Beta - Corporate platform
Gov.uk Beta - Corporate platform UK Government Digital Service
 
Hertil og ikke længere – indtil videre
Hertil og ikke længere – indtil videreHertil og ikke længere – indtil videre
Hertil og ikke længere – indtil videreMadeleine Schlawitz
 
Open Standards - Show and Tell September 2013
Open Standards - Show and Tell September 2013Open Standards - Show and Tell September 2013
Open Standards - Show and Tell September 2013UK Government Digital Service
 
Filmmuseet på de sociale medier March 2014
Filmmuseet på de sociale medier March 2014Filmmuseet på de sociale medier March 2014
Filmmuseet på de sociale medier March 2014Madeleine Schlawitz
 
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...UK Government Digital Service
 
Talons Out Honor Flight presentation Dan Moyle
Talons Out Honor Flight presentation Dan MoyleTalons Out Honor Flight presentation Dan Moyle
Talons Out Honor Flight presentation Dan MoyleDan Moyle
 
Operational delivery mike bracken
Operational delivery mike brackenOperational delivery mike bracken
Operational delivery mike brackenUK Government Digital Service
 
The Single Domain -gov.uk beta
The Single Domain -gov.uk betaThe Single Domain -gov.uk beta
The Single Domain -gov.uk betaUK Government Digital Service
 
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...UK Government Digital Service
 
Government Digital Service's Launch 8.12.11
Government Digital Service's Launch 8.12.11Government Digital Service's Launch 8.12.11
Government Digital Service's Launch 8.12.11UK Government Digital Service
 
ConCon Manchester: joining up the content
ConCon Manchester: joining up the contentConCon Manchester: joining up the content
ConCon Manchester: joining up the contentUK Government Digital Service
 
Newcastle content meetup: user research and content design
Newcastle content meetup: user research and content designNewcastle content meetup: user research and content design
Newcastle content meetup: user research and content designUK Government Digital Service
 
G Cloud - ApplyCamp 2011-11-22
G Cloud - ApplyCamp 2011-11-22G Cloud - ApplyCamp 2011-11-22
G Cloud - ApplyCamp 2011-11-22UK Government Digital Service
 
Industry engagement event (London) 26 August 2015
Industry engagement event (London) 26 August 2015Industry engagement event (London) 26 August 2015
Industry engagement event (London) 26 August 2015UK Government Digital Service
 
ConCon Manchester: keynote
ConCon Manchester: keynoteConCon Manchester: keynote
ConCon Manchester: keynoteUK Government Digital Service
 
How to write a good change request
How to write a good change requestHow to write a good change request
How to write a good change requestUK Government Digital Service
 
PHP With Windows binary
PHP With Windows binaryPHP With Windows binary
PHP With Windows binaryMasahiko Sakamoto
 
Webデザイナーのためのphp wordpress
Webデザイナーのためのphp wordpressWebデザイナーのためのphp wordpress
Webデザイナーのためのphp wordpressgalluda
 
PHPでセキュリティを真面目に考える
PHPでセキュリティを真面目に考えるPHPでセキュリティを真面目に考える
PHPでセキュリティを真面目に考えるTakuya Sato
 
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情Junichi Ishida
 

More Related Content

Viewers also liked

LFF - digital photography and collection management 2008
LFF - digital photography and collection management 2008LFF - digital photography and collection management 2008
LFF - digital photography and collection management 2008Madeleine Schlawitz
 
Hertil og ikke længere – indtil videre
Hertil og ikke længere – indtil videreHertil og ikke længere – indtil videre
Hertil og ikke længere – indtil videreMadeleine Schlawitz
 
Filmmuseet på de sociale medier March 2014
Filmmuseet på de sociale medier March 2014Filmmuseet på de sociale medier March 2014
Filmmuseet på de sociale medier March 2014Madeleine Schlawitz
 
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...UK Government Digital Service
 
Talons Out Honor Flight presentation Dan Moyle
Talons Out Honor Flight presentation Dan MoyleTalons Out Honor Flight presentation Dan Moyle
Talons Out Honor Flight presentation Dan MoyleDan Moyle
 
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...UK Government Digital Service
 
Newcastle content meetup: user research and content design
Newcastle content meetup: user research and content designNewcastle content meetup: user research and content design
Newcastle content meetup: user research and content designUK Government Digital Service
 

Viewers also liked (18)

LFF - digital photography and collection management 2008
LFF - digital photography and collection management 2008LFF - digital photography and collection management 2008
LFF - digital photography and collection management 2008
 
Oefenzitting5
Oefenzitting5Oefenzitting5
Oefenzitting5
 
Gov.uk Beta - Corporate platform
Gov.uk Beta - Corporate platform Gov.uk Beta - Corporate platform
Gov.uk Beta - Corporate platform
 
Hertil og ikke længere – indtil videre
Hertil og ikke længere – indtil videreHertil og ikke længere – indtil videre
Hertil og ikke længere – indtil videre
 
Open Standards - Show and Tell September 2013
Open Standards - Show and Tell September 2013Open Standards - Show and Tell September 2013
Open Standards - Show and Tell September 2013
 
Filmmuseet på de sociale medier March 2014
Filmmuseet på de sociale medier March 2014Filmmuseet på de sociale medier March 2014
Filmmuseet på de sociale medier March 2014
 
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
SPRINT 13 Workshop 2 Electoral Registration Transformation Colin Dingwall – C...
 
Talons Out Honor Flight presentation Dan Moyle
Talons Out Honor Flight presentation Dan MoyleTalons Out Honor Flight presentation Dan Moyle
Talons Out Honor Flight presentation Dan Moyle
 
Operational delivery mike bracken
Operational delivery mike brackenOperational delivery mike bracken
Operational delivery mike bracken
 
The Single Domain -gov.uk beta
The Single Domain -gov.uk betaThe Single Domain -gov.uk beta
The Single Domain -gov.uk beta
 
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
SPRINT 13 Working towards a digital environment - Brian Etheridge CBE, Depart...
 
Government Digital Service's Launch 8.12.11
Government Digital Service's Launch 8.12.11Government Digital Service's Launch 8.12.11
Government Digital Service's Launch 8.12.11
 
ConCon Manchester: joining up the content
ConCon Manchester: joining up the contentConCon Manchester: joining up the content
ConCon Manchester: joining up the content
 
Newcastle content meetup: user research and content design
Newcastle content meetup: user research and content designNewcastle content meetup: user research and content design
Newcastle content meetup: user research and content design
 
G Cloud - ApplyCamp 2011-11-22
G Cloud - ApplyCamp 2011-11-22G Cloud - ApplyCamp 2011-11-22
G Cloud - ApplyCamp 2011-11-22
 
Industry engagement event (London) 26 August 2015
Industry engagement event (London) 26 August 2015Industry engagement event (London) 26 August 2015
Industry engagement event (London) 26 August 2015
 
ConCon Manchester: keynote
ConCon Manchester: keynoteConCon Manchester: keynote
ConCon Manchester: keynote
 
How to write a good change request
How to write a good change requestHow to write a good change request
How to write a good change request
 

Similar to Wordpress secure

Webデザイナーのためのphp wordpress
Webデザイナーのためのphp wordpressWebデザイナーのためのphp wordpress
Webデザイナーのためのphp wordpressgalluda
 
PHPでセキュリティを真面目に考える
PHPでセキュリティを真面目に考えるPHPでセキュリティを真面目に考える
PHPでセキュリティを真面目に考えるTakuya Sato
 
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情Junichi Ishida
 
PHP Now and then 2018 : WordPress Special Edition
PHP Now and then 2018 : WordPress Special EditionPHP Now and then 2018 : WordPress Special Edition
PHP Now and then 2018 : WordPress Special EditionRui Hirokawa
 
Hybridauthで簡単に認証システム実装
Hybridauthで簡単に認証システム実装Hybridauthで簡単に認証システム実装
Hybridauthで簡単に認証システム実装Youhei Iwasaki
 
普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策Kiyoshi SATOH
 
まだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LT
まだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LTまだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LT
まだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LT77web
 
初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~
初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~
初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~ceres-inc
 
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)Yuya Takeyama
 
Word pressのプラグインを翻訳してみませんか?
Word pressのプラグインを翻訳してみませんか?Word pressのプラグインを翻訳してみませんか?
Word pressのプラグインを翻訳してみませんか?Kayoko Furukawa
 
WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪Kitani Kimiya
 
案件で使えるプラグイン特集
案件で使えるプラグイン特集案件で使えるプラグイン特集
案件で使えるプラグイン特集優也 田島
 
var dumpを使わないWordPress開発フロー
var dumpを使わないWordPress開発フローvar dumpを使わないWordPress開発フロー
var dumpを使わないWordPress開発フロー優也 田島
 
安全なテーマ作成のためのPHPの知識
安全なテーマ作成のためのPHPの知識安全なテーマ作成のためのPHPの知識
安全なテーマ作成のためのPHPの知識Fumito Mizuno
 
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・atk1234
 

Similar to Wordpress secure (17)

PHP With Windows binary
PHP With Windows binaryPHP With Windows binary
PHP With Windows binary
 
Webデザイナーのためのphp wordpress
Webデザイナーのためのphp wordpressWebデザイナーのためのphp wordpress
Webデザイナーのためのphp wordpress
 
PHPでセキュリティを真面目に考える
PHPでセキュリティを真面目に考えるPHPでセキュリティを真面目に考える
PHPでセキュリティを真面目に考える
 
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
YAPC::Asia 2014 - 半端なPHPDisでPHPerに陰で笑われないためのPerl Monger向け最新PHP事情
 
PHP Now and then 2018 : WordPress Special Edition
PHP Now and then 2018 : WordPress Special EditionPHP Now and then 2018 : WordPress Special Edition
PHP Now and then 2018 : WordPress Special Edition
 
Hybridauthで簡単に認証システム実装
Hybridauthで簡単に認証システム実装Hybridauthで簡単に認証システム実装
Hybridauthで簡単に認証システム実装
 
普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策普通の人のパソコン向け最低限のセキュリティ対策
普通の人のパソコン向け最低限のセキュリティ対策
 
まだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LT
まだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LTまだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LT
まだ技術ブログを始めてないPHPerのあなたへ。PHPカンファレンス関西2013 LT
 
Lt
LtLt
Lt
 
初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~
初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~
初心者による初心者のためのRPA入門 ~Seleniumを使用したWebブラウザ操作の自動化~
 
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
 
Word pressのプラグインを翻訳してみませんか?
Word pressのプラグインを翻訳してみませんか?Word pressのプラグインを翻訳してみませんか?
Word pressのプラグインを翻訳してみませんか?
 
WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪
 
案件で使えるプラグイン特集
案件で使えるプラグイン特集案件で使えるプラグイン特集
案件で使えるプラグイン特集
 
var dumpを使わないWordPress開発フロー
var dumpを使わないWordPress開発フローvar dumpを使わないWordPress開発フロー
var dumpを使わないWordPress開発フロー
 
安全なテーマ作成のためのPHPの知識
安全なテーマ作成のためのPHPの知識安全なテーマ作成のためのPHPの知識
安全なテーマ作成のためのPHPの知識
 
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
 

Wordpress secure

  • 2. ワームて?  みみず、ヘビ、ムカデみたいな虫?  画像検索注意!  ウィルスみたいなもの  ウィルスは利用者がヘマこくと感染する  ワームはセキュリティホールを狙う  利用者が何もしなくても感染する  むしろ、セキュリティホールは日々見つかるため、何 もしなかったらそのうち必ず感染する
  • 3. PHP アプリ界隈では  利用者の意識が比較的低い  リテラシーが低いともいう  PHP プログラムは簡単に実行できる  アップローダなどで PHP をアップする  Wordpress のテーマやプラグインに仕込む  phpMyAdmin などを狙う  パーミッションの設定など無くても動く  他の CGI は割と手動で設定が必要
  • 4. 最近増えてます。  国内からワームらしいアクセスが多いです。  感染者が多い証拠  感染者も気づいていない  とくに phpMyAdmin を狙ったワームがすごく増えま した。  昔から狙い撃ちされやすい  phpMyAdmin に初心者の傾向
  • 5. 感染してしまうと…  サーバのデータを改変、削除されてしまう  他へ感染を広げようとしてしまう  DDoS に利用されてしまう  最近の例だと名古屋市役所のサイト  一台ではできなくても、感染したサーバを多数利用す ればできてしまう  もしかしたら急におまわりさんが来て任意同行され るかも
  • 6. 適当に設置してませんか?  MySQL のユーザ作るときの権限  php スクリプトの置き場所  他人に使わせるときにテーマ編集できてしまったり  HTTPS でないのに自宅外からログインしたり  あんまり使わない phpMyAdmin を放置してたり。
  • 7. MySQL の権限  grant で ALL にしない  create select update insert delete で十分  *.* (全データベース)にしない  必ず使うデータベースだけ  wordpress.* など。  複数の Wordpress サイトをまとめるときは特に要注意
  • 8. PHP 置き場所  利用するユーザは Apache だけ  Debian 系なら www-data  Redhat 系なら Apache  不用意にディレクトリ全体を 777 とかにしてはダメ  あらゆるファイルのアップロード先には注意する
  • 9. テーマ編集など  なるべく他人にやらせない  テンプレートにコッソリワームを仕込むなど容易い  悪意がなくてもヘマする  不用意にテーマをインストールしてしまったり  入力フォームの追加などコピペで済ませたり  プラグインも同じ。  プラグインそのものはもちろん、  記事内部に php 書けてしまうやつはかなり危険  この場合絶対に知らない人に使わせてはいけない
  • 10. HTTPS 云々  HTTPS は暗号化されているのでひとまず安心  だけど、 HTTP の場合はモロバレ  特に WiFi フリースポットなど、悪意が無くてもロ グからログインパスワードなど見えてしまうことも。  外で使うスマホ、ノート PC で特に注意  3G から接続ならひとまず安心、だが油断しない。  サーバごと納品する場合はかならず SSL 証明書を買 う  証明書が正規のものであるかの説明も必須
  • 11. phpMyAdmin  便利で使ってる人も多いはず  たまにしか使わず放置してる人も多いはず  昔からこれを狙ったワームが多い  セキュリティホールが多いため。  BASIC 認証や HTTPS オンリーにする  必ずアップデートする  使わないなら消す
  • 12. 感染してるかどうか  Top コマンドで CPU 利用率など見る  もしくは管理コンソールなどから。  ps –aux などで知らないプロセスが無いか見る  知らないファイルが増えていないか見る  ちょっと膨大かも…
  • 13. 感染してしまったら  基本的に諦め。サーバごと捨てよう  OS から再インストール  本当に必要なデータだけをバックアップ  テーマなどの php コードは捨てる  記事本文や画像だけ残す  記事本体は編集履歴が残ってるので膨大な量  PHP コードを書けるプラグインを導入するときは、一緒に 感染している可能性もあるので良く目を通す  サーバ運営の詳しい方に頼る  基本的にみなさんやさしいはずです!
  • 14. まとめ  Wordpress 入門サイトなどもわりと適当にしか書い ていないので良く自分で調べて設置しよう!  特にレンタルサーバごと納品する場合など要注意 (だと思われます)  気をつけるべき行為  自宅外から投稿  他人に使わせる(共同管理)  プラグインやテーマなど良く入れ替える  キーワード  ワーム SQLインジェクション SSL