Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

7.688 visualizaciones

Publicado el

WordCamp Tokyo 2015 でWordPressユーザー向けにLTしてきました。WordPressのWaltiプラグインもご紹介しました。

Publicado en: Tecnología
  • Sé el primero en comentar

WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイン」について @fujisaki_hb

  1. 1. WordPress+VPSで作られた
 Webサイトのセキュリティチェックポイントと
 WordPressの「Waltiプラグイン」について @fujisaki_hb
 
 WordCamp Tokyo 2015
  2. 2. こんなことは ありませんか?
  3. 3. この要件はWordPressを カスタマイズしないと いけないぞ?
  4. 4. WordPress用に サーバーを立てなきゃ
  5. 5. そこで
  6. 6. VPS・IaaS …etc
  7. 7. やっぱりセキュリティ 心配ですよね?
  8. 8. 確認ポイント、3つ
  9. 9. 1. ファイアウォールの設定
  10. 10. iptables, security group…etc
  11. 11. 設定後、 動作確認してますか?
  12. 12. はい、80portアクセ スできています。
  13. 13. 違います。
  14. 14. TCP 80port 以外の 使っていないPortに
 アクセスできないことを
 確認していますか?
  15. 15. 確認方法
  16. 16. ポートスキャン
  17. 17. 例)nmapコマンド
  18. 18. # nmap hogehoge.com (略)
 PORT STATE SERVICE 80/tcp open http 443/tcp open https 8080/tcp open http-proxy 8443/tcp open https-alt
  19. 19. でも、もうちょっと ちゃんとすると…
  20. 20. # nmap -sS -sV -Pn -p 1-65535 hogehoge.com 
 (略) PORT STATE SERVICE VERSION 80/tcp open http cloudflare-nginx 443/tcp open ssl/http cloudflare-nginx 2052/tcp open http cloudflare-nginx 2053/tcp open http cloudflare-nginx 2082/tcp open http cloudflare-nginx 2083/tcp open http cloudflare-nginx 2086/tcp open http cloudflare-nginx 2087/tcp open http cloudflare-nginx 2095/tcp open http cloudflare-nginx 2096/tcp open http cloudflare-nginx 8080/tcp open http cloudflare-nginx 8443/tcp open http cloudflare-nginx 8880/tcp open http cloudflare-nginx
  21. 21. 奥が深い。
  22. 22. 2. Webサーバの設定
  23. 23. nginx/Apache 起動しました。 php動くようにしました。
  24. 24. 設定に不足はないですか?
  25. 25. 確認したいよね!
  26. 26. 例)niktoコマンド
  27. 27. Webサーバの設定を セキュリティ的な視点で チェックしてくれる優れモノ
  28. 28. #perl nikto.pl -host http://hogehoge.com
  29. 29. 検出項目例) phpのversionを隠せているか
  30. 30. 3. WordPressに
 機能追加した部分の脆弱性
  31. 31. 脆弱性スキャンをどう しよう?
  32. 32. 例)OWASP ZAP skipfish WPScan
  33. 33. Webアプリケーションの脆弱性を チェックしてくれる優れモノ
  34. 34. # skipfish hogehoge.com
  35. 35. 意外と簡単ですが、
 ちゃんとやろうと思うと 試行錯誤が必要
  36. 36. 注意事項1 • WordPressの管理画面にログインして
 スキャンすると、CSSが書き換わっちゃう!
  37. 37. 注意事項2 • 更新系処理があるとスキャン用のデータが 大量に書き込まれてしまう!
  38. 38. 注意事項3 • POSTを含むリクエストを含むので、
 問い合わせフォームがあると
 大量にメールが飛んでしまう!
  39. 39. 大切なことなので 頑張りましょう
  40. 40. そんな方へ
 お勧めしたいのが
  41. 41. WordPressの 「Waltiプラグイン」
  42. 42. Walti.ioと連携して
 WordPressのWebサイトに 簡単にセキュリティスキャンができる WordPressのプラグイン
  43. 43. Walti.ioとは https://walti.io/
  44. 44. Walti.ioでできること - ファイアウォールのチェック - Webサーバの設定のチェック - SSL証明書のチェック - Webアプリのチェック
  45. 45. Walti.ioを使うには 1) Walti.ioでアカウント登録、組織を作成 2) WaltiプラグインをWordPressに インストールして Walti.ioのAPIキーを設定 3) nmap/nikto/skipfish等でスキャンが可能
  46. 46. Walti.ioの理念 • サーバーサイドのセキュリティスキャンを
 もっと身近に!
  47. 47. OSSやWalti.ioを使って
 WordPressで作られた Webサイト・ システムにセキュリティスキャンを。 https://walti.io/
  48. 48. 快適なWordPress ライフを!

×