ssmjp 2016/05/30

1. 防御から謝罪まで
WordPressに
ヤマを貼るっ！
松本悦宜 @ ym405nm
公開版

2. • 自己紹介
• 背景
• HardeningとWordPressの関係
• WordPressでEC
• 一般的なセキュリティ対策
• 他の環境の注意事項
内容

3. 松本 悦宜（まつもとよしのり）
神戸デジタル・ラボ
セキュリティソリューション事業部
セキュリティ診断、WordPressなど
Hardening チーム「秘密結社にんじんしりしり」で
参加してきました
Twitter : ym405nm
自己紹介

4. 背景

5. 渋谷ギャル100人に聞きました
彼氏に持っててほしい Hardening スキル

6. 今日はWordPress関係の話をします
• いろいろ大事なスキルはあるけど、ECサイト
を守るうえでWebの知識は必須スキルのうち
の一つ！
• ここ2回WordPressがよく使われている
• 次は出るかどうかわからないけど、復習とい
う意味でWordPressまわりの話を簡単に解説
します
なぜ？

7. 改ざん謝罪文自動生成WordPressプラグイン
WP-SORRY
WP Sorry もよろしく！
https://github.com/ym405nm/wp-sorry

8. WP-Sorryの使い方
改ざんされた場合
あなたはすぐ謝罪できますか？

9. WP-Sorry
①プラグインを有効化

10. WP-Sorry②改ざんの状況を
フォームに記載

11. ③ショートコードで記載

13. (参考) 導入事例
Hardening 10 Value Chain
ショッピングサイト 6店舗
有効にしたら左のメニューが消えて他の機能が使えない！
ク○がぁ！（多数）
ご利用者の声
おおむね好評を頂いたようです

14. WordPressと
Hardeningの関係

15. Hardening と WordPress
EC – CUBE 時代2012年ごろ
http://www.atmarkit.co.jp/ait/articles/1212/10/news015.html
ZenCart 時代2014年ごろ
http://www.atmarkit.co.jp/ait/articles/1407/09/news007.html
Market Place 導入
WordPress 時代2015年ごろ
http://www.atmarkit.co.jp/ait/articles/1507/13/news004.html

16. WordPressでEC

17. • WordPressにはEC関係の機能が全くない
• 元々はブログソフトウェア
• WordPressでECサイトを運用する場合は専用のプラ
グインを使用する
• Hardeningで使用実績があるのは
「Welcart」と呼ばれるプラグイン
WordPress で EC

18. • 基本的には独自実装が多い
WordPressのEC
WordPress
Welcart
• 記事、ファイル管理
• 管理者用画面
• 商品管理
• 購入履歴管理
• 顧客管理
個人情報の管理はむしろこっち

19. • 他のプラグインからアクセスできる
WordPressは「データベース単位」でアクセス制御し
ているため、「テーブル単位」ではアクセス制御でき
ない
WordPressのEC

20. •WordPressだけでなく、ECパッケージ
側の脆弱性にも注意してください！
脆弱性に注意
https://jvn.jp/jp/JVN43344629/index.html

21. 一般的なWrodPress
のセキュリティ対策

22. • ユーザ、パスワードのブルートフォース
WordPressの一般的なセキュリティ
• ほとんどのWordPresssサイト
が同じ構造
• デフォルトでは、簡単な POST
リクエスト1つでログイン可能
POST wp-login.php HTTP/1.1
Host : example.com
Log
={username}&pwd={password}

23. • サードパーティの脆弱性
①任意ファイルのアップロード
WordPressの一般的なセキュリティ
画像
攻撃用
WordPress
プラグイン
外部からアクセス可能

24. • サードパーティの脆弱性
②データベース接続情報の不正取得
WordPressの一般的なセキュリティ
POST /wp-content/themes/dejavu/lib/scripts/dl-skin.php HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux amd64) AppleWebKit/534.36 (KHTML, like
Gecko) Chrome/13.0.766.0 Safari/534.36
Host: server
Accept-Encoding: gzip
Referer: http://server
Content-Length: 60
_mysite_download_skin=..%2F..%2F..%2F..%2F..%2Fwp-config.php
wp-config.php の内容を読み取ろうとしている

25. • サードパーティの脆弱性
使わないプラグインのステータスに注意
WordPressの一般的なセキュリティ
有効
無効 削除
ファイル自体は残っている
＝脆弱性が存在するかも

26. WP PORTAL って知ってますか？
https://wp-portal.net
国内のWordPressに対する
攻撃情報が掲載されている

27. ssmjp 限定コンテンツ
会場限り

28. WordPress
じゃなかった場合

29. • EC-CUBE2は過去にも使用されたため可能性はある
EC-CUBE？

30. • EC-CUBE3
• 2015年、7年半ぶりに大型アップデート
• Doctrine、Twig、Silexなど信頼の高いフレーム
ワークを使用
• セキュリティを意識した設計
• フレームワークに慣れていな人は、コア部分をい
じりにくいかも
EC-CUBE3は競技には不向き
EC-CUBE？

31. • WordPress上で動くECプラグイン
• コア開発のWooThemesをAutomatticが買収
• 現在、10,483,704ダウンロード(10月30日時点)
• magentoを抜いて世界で一番利用されているECシス
テム
• 世界では現在月商数万ドル（数億円）以上の売上を
上げているサイトも稼働している
WooCommerce
WooCommerceによるECサイト構築
～WordPressを使った商品情報発信の新しいカタチ～
https://www.prime-strategy.co.jp/resource/pdf/WordCampTokyo2015Woo.pdf

32. • MTも人気の高いCMSの一つ
Movable Type
ケータイキット for Movable Type に
OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU92116866/

33. 何が出るかわからんっすわ
がんばってくださいー！
•WordPress今回も出るかも
•WordPressでECサイトの注意点
•一般的なセキュリティ対策
結論