More Related Content
Similar to 0325できる?どうやる!word pressのセキュリティ運用 (20)
0325できる?どうやる!word pressのセキュリティ運用
- 1. Copyright © NHN Techorus Corp.
NHNテコラス株式会社
SME事業部
平賀 真琴
できる?どうやる!
WordPressのセキュリティ運用
- 2. Page 2
自己紹介
平賀 真琴 (ひらが まこと)
• 所属:NHNテコラス株式会社
• 担当:「エクスクラウド(EX-CLOUD)」
販促・マーケ担当
• 趣味:車、キャンプ、DIY
• 前職:Iaas営業、自動車部品メーカー、
人材営業
• その他:埼玉県出身、東京町田市在住、
3人家族
- 15. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -15-
パ ー ト ナ ー 登 録 頂 き ま す と 、 N H N テ コ ラ ス が 運 営 、 参 加 す る 勉 強 会 に 優 先 的 に ご 案 内 し ま
す 。 C M S 勉 強 会 、 セ キ ュ リ テ ィ 勉 強 会 等 、 パ ー ト ナ ー 様 同 士 の 交 流 会 や 情 報 交 換 の 機 会 を
ご 提 供 し て い ま す 。
E X - C L O U D 各 プ ラ ン や S S L ク ー ポ ン
も 最 大 1 7 % O F F の パ ー ト ナ ー 価 格 で
ご 利 用 で き ま す 。
実際のイベント風景
テコラスパートナー登録も無料
Editor's Notes
- ・WPHへのWAF採用裏話
・なぜ我々はWPプランにWAFを導入・搭載したか?
- ----- 会議メモ (17/03/24 15:06) -----
今日はWordPressのセキュリティ対策、主に脆弱性対策について10-15分くらいでお話したいと思います。
-
----- 会議メモ (17/03/24 15:06) -----
まず、WordPressの脆弱性ってどんなものがあるのか、みていきますと、
これはJPcertさんのJVNという脆弱性データベースに登録されているものを確認したのですが、
2016年に発見された脆弱性は約60件ありました。
これはほとんどがプラグインでした。
平均して月に5件の脆弱性が発生していたことになります。
また、WordPress本体の脆弱性に関しては、最近4.7.0/1で重大なREST APIの脆弱性が発見され、
150万件もの改ざん被害が発生しています。
こちらは猶予期間があり、アップデートは促されていました。
-
----- 会議メモ (17/03/24 15:06) -----
次に攻撃者の動きをみていきましょう。これはTokyo SOC というIBMのセキュリティ研究施設のレポートです。
新しい脆弱性が公開されると、そこをトリガーにして、攻撃者の活動が活発化します。
2-3日以内に集中的に攻撃を行います。
これが何を意味しているかというと、攻撃者の情報源は、脆弱性情報であるということです。
-
----- 会議メモ (17/03/24 15:06) -----
それに対し、サイト運営側の対策スケジュールをみてみますと、全然間に合っていません。
1週間以上たってから対策してもそのときにすでに攻撃者は、飽きて攻撃をやめています。
このように脆弱性対策は瞬時に対策をしなければほとんど意味はありません。
また、同時に攻撃者はITリテラシーが低く、地下室で延々とハッキング行為を行っているわけではないことがわかります。
-
----- 会議メモ (17/03/24 15:06) -----
攻撃者はどう攻撃してくるかというと、彼らの業界は分業され、マーケットが確立されており、攻撃ツールが流通しています。
例えばgoogleで検索すると、自動化ツールがたくさん見つかります。
無料ツールから有料ツール(販売、リース、レブシェア型)まであります。
-
----- 会議メモ (17/03/24 15:06) -----
Googleは世の中の全ての情報をキャッシュしようとしていますので、
サイトの脆弱性も同時にキャッシュしてしまっています。
詳細な方法は今回割愛させて頂きますが、gppgleで脆弱性のあるサイトは検索一覧が表示されますので、
それを上から順に、攻撃ツールを使って乱れ打ちしていく、という流れです。
ちなみにこれはPHPのエラーメッセージの履歴からSQLインジェクションのターゲット先を検索した例です。
-
----- 会議メモ (17/03/24 15:06) -----
WordPressのセキュリティ対策は基本的には2つです。
・脆弱性対策
・ログイン画面への対策
の2つです。
-
----- 会議メモ (17/03/24 15:06) -----
・WordPress本体、プラグインの脆弱性を随時チェック、まずはアップデート、検証はする余裕なし。
・WAFによる自動化 REST APIの脆弱性も
-
----- 会議メモ (17/03/24 15:06) -----
過去にECサイトがSQLインジェクションを受けて個人情報流出した裁判があり、その時のログイン情報が、
admin/passwordだった、なんてのがあり、2000万の受注したのに賠償額が2300万円だった、なんてことがありましたが、
いわゆる
・想像されやすいパスワード
・一般的な弱いバスワード
で正しくログインされてしまうと、セキュリティ対策は意味がありません。
同時に
・ユーザー名と編集者名変える
・管理画面のログインURL変える
ということも有効です。
次に
・ブルートフォースアタック(またはリバースブルートフォースアタック)
・ディクショナリーアタック
などによる不正アクセスには、
Fail2banによる自動のアタック対策をしたり、ログイン画面に2要素認証(キャプチャ認証とか)を入れて回避することが有効な対策です。
-
----- 会議メモ (17/03/24 15:06) -----
最新版へ随時アップデート、副作用を気をつけている時間はありません。
もしくはWAFを活用して自動化してください。
パスワードは強力に
ログイン画面へも対策
- ・クライアントに提案するときはこういったプランを提案してください