Submit Search
Upload
0325できる?どうやる!word pressのセキュリティ運用
•
Download as PPTX, PDF
•
1 like
•
793 views
真琴 平賀
Follow
【エンタープライズに強いWordPressは楽して作る時代】 wordbench福岡でお話した内容です。
Read less
Read more
Technology
Report
Share
Report
Share
1 of 15
Download now
Recommended
かんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなし
haruna tanaka
Wordpress × 帰ってすぐにセキュリティ
Wordpress × 帰ってすぐにセキュリティ
大司 中神
いろんなクラウドの話 ~選び方とはじめ方~
いろんなクラウドの話 ~選び方とはじめ方~
softlayerjp
2018 1030 10min_vegas_traffic
2018 1030 10min_vegas_traffic
Shinichiro Kawano
Kaizenとコーディングで、2年間生き抜いた
Kaizenとコーディングで、2年間生き抜いた
Toshimichi Suekane
コメントスパム対策から始まったWordPress生活
コメントスパム対策から始まったWordPress生活
毅 佐藤
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your Niche
Leslie Samuel
[Recap仙台]jaws days 2017の裏側
[Recap仙台]jaws days 2017の裏側
Takuya Tachibana
Recommended
かんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなし
haruna tanaka
Wordpress × 帰ってすぐにセキュリティ
Wordpress × 帰ってすぐにセキュリティ
大司 中神
いろんなクラウドの話 ~選び方とはじめ方~
いろんなクラウドの話 ~選び方とはじめ方~
softlayerjp
2018 1030 10min_vegas_traffic
2018 1030 10min_vegas_traffic
Shinichiro Kawano
Kaizenとコーディングで、2年間生き抜いた
Kaizenとコーディングで、2年間生き抜いた
Toshimichi Suekane
コメントスパム対策から始まったWordPress生活
コメントスパム対策から始まったWordPress生活
毅 佐藤
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your Niche
Leslie Samuel
[Recap仙台]jaws days 2017の裏側
[Recap仙台]jaws days 2017の裏側
Takuya Tachibana
How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & Tricks
SlideShare
LINE(ライン)の使い方。
LINE(ライン)の使い方。
TOSHIHIKO MICHIBATA
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
haruna tanaka
Getting Started With SlideShare
Getting Started With SlideShare
SlideShare
KUSANAGIユーザグループ東京 第1回勉強会 資料
KUSANAGIユーザグループ東京 第1回勉強会 資料
Sumito Tsukada
マジモンについてNHN japan 公開用 pdf
マジモンについてNHN japan 公開用 pdf
Shuhei Hara
レンタルサーバーとVPSそしてクラウド
レンタルサーバーとVPSそしてクラウド
snicker_jp
A dmatic search_sales_sheet
A dmatic search_sales_sheet
Team-admatic
WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?
Toyohiko Asai
201703 insta vr_jawsug_仙台
201703 insta vr_jawsug_仙台
Hideki Ojima
機械学習を学ぶための準備 その4(行列について)試験問題
機械学習を学ぶための準備 その4(行列について)試験問題
NHN テコラス株式会社
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
Kiminori Yokoi
第2回勉強会資料 柏木
第2回勉強会資料 柏木
beyond0iwamoto
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
さくらインターネット株式会社
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
NHN テコラス株式会社
さくらのIoT Platformを使ってみよう
さくらのIoT Platformを使ってみよう
法林浩之
機械学習を学ぶための準備 その3(行列について)試験問題
機械学習を学ぶための準備 その3(行列について)試験問題
NHN テコラス株式会社
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
knowledge_sakura
Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Naoki Ogawa
Ultrafast WordPress Virtual Word camp2015
Ultrafast WordPress Virtual Word camp2015
Yuta Sakamoto
Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威
真琴 平賀
0709wordbench新潟
0709wordbench新潟
真琴 平賀
More Related Content
Viewers also liked
How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & Tricks
SlideShare
LINE(ライン)の使い方。
LINE(ライン)の使い方。
TOSHIHIKO MICHIBATA
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
haruna tanaka
Getting Started With SlideShare
Getting Started With SlideShare
SlideShare
KUSANAGIユーザグループ東京 第1回勉強会 資料
KUSANAGIユーザグループ東京 第1回勉強会 資料
Sumito Tsukada
マジモンについてNHN japan 公開用 pdf
マジモンについてNHN japan 公開用 pdf
Shuhei Hara
レンタルサーバーとVPSそしてクラウド
レンタルサーバーとVPSそしてクラウド
snicker_jp
A dmatic search_sales_sheet
A dmatic search_sales_sheet
Team-admatic
WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?
Toyohiko Asai
201703 insta vr_jawsug_仙台
201703 insta vr_jawsug_仙台
Hideki Ojima
機械学習を学ぶための準備 その4(行列について)試験問題
機械学習を学ぶための準備 その4(行列について)試験問題
NHN テコラス株式会社
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
Kiminori Yokoi
第2回勉強会資料 柏木
第2回勉強会資料 柏木
beyond0iwamoto
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
さくらインターネット株式会社
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
NHN テコラス株式会社
さくらのIoT Platformを使ってみよう
さくらのIoT Platformを使ってみよう
法林浩之
機械学習を学ぶための準備 その3(行列について)試験問題
機械学習を学ぶための準備 その3(行列について)試験問題
NHN テコラス株式会社
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
knowledge_sakura
Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Naoki Ogawa
Ultrafast WordPress Virtual Word camp2015
Ultrafast WordPress Virtual Word camp2015
Yuta Sakamoto
Viewers also liked
(20)
How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & Tricks
LINE(ライン)の使い方。
LINE(ライン)の使い方。
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
Getting Started With SlideShare
Getting Started With SlideShare
KUSANAGIユーザグループ東京 第1回勉強会 資料
KUSANAGIユーザグループ東京 第1回勉強会 資料
マジモンについてNHN japan 公開用 pdf
マジモンについてNHN japan 公開用 pdf
レンタルサーバーとVPSそしてクラウド
レンタルサーバーとVPSそしてクラウド
A dmatic search_sales_sheet
A dmatic search_sales_sheet
WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?
201703 insta vr_jawsug_仙台
201703 insta vr_jawsug_仙台
機械学習を学ぶための準備 その4(行列について)試験問題
機械学習を学ぶための準備 その4(行列について)試験問題
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
第2回勉強会資料 柏木
第2回勉強会資料 柏木
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
さくらのIoT Platformを使ってみよう
さくらのIoT Platformを使ってみよう
機械学習を学ぶための準備 その3(行列について)試験問題
機械学習を学ぶための準備 その3(行列について)試験問題
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Ultrafast WordPress Virtual Word camp2015
Ultrafast WordPress Virtual Word camp2015
Similar to 0325できる?どうやる!word pressのセキュリティ運用
Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威
真琴 平賀
0709wordbench新潟
0709wordbench新潟
真琴 平賀
Mix Leap 0214 security
Mix Leap 0214 security
adachi tomohiro
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
Takeaki Inoue
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
株式会社クライム
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
株式会社クライム
Web creed
Web creed
Net Kanayan
アジャイルマインドの重要性(長野)
アジャイルマインドの重要性(長野)
Akiyah
20200214 the seminar of information security
20200214 the seminar of information security
SAKURUG co.
20101213 Nomad Worker MeetUp
20101213 Nomad Worker MeetUp
Visso株式会社
2019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.0
Isaac Mathis
WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016
yoshinori matsumoto
20171115 社長5年会
20171115 社長5年会
Takayuki Horimoto
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策
itforum-roundtable
FortuneWorksのサービス概要
FortuneWorksのサービス概要
株式会社ワッツネクスト
【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!
【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!
leverages_event
Similar to 0325できる?どうやる!word pressのセキュリティ運用
(20)
Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威
0709wordbench新潟
0709wordbench新潟
Mix Leap 0214 security
Mix Leap 0214 security
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
Web creed
Web creed
アジャイルマインドの重要性(長野)
アジャイルマインドの重要性(長野)
20200214 the seminar of information security
20200214 the seminar of information security
20101213 Nomad Worker MeetUp
20101213 Nomad Worker MeetUp
2019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.0
WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの心配事を吹き飛ばせ! WordCamp Kansai 2016
20171115 社長5年会
20171115 社長5年会
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策
FortuneWorksのサービス概要
FortuneWorksのサービス概要
【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!
【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!
More from 真琴 平賀
0717cloudgaragemeetup sendai
0717cloudgaragemeetup sendai
真琴 平賀
20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~
20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~
真琴 平賀
1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~
1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~
真琴 平賀
0930常時ssl化するときのサーバまわりの注意点
0930常時ssl化するときのサーバまわりの注意点
真琴 平賀
Wb倉敷 ssl説明資料
Wb倉敷 ssl説明資料
真琴 平賀
0805wordbench倉敷
0805wordbench倉敷
真琴 平賀
More from 真琴 平賀
(6)
0717cloudgaragemeetup sendai
0717cloudgaragemeetup sendai
20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~
20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~
1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~
1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~
0930常時ssl化するときのサーバまわりの注意点
0930常時ssl化するときのサーバまわりの注意点
Wb倉敷 ssl説明資料
Wb倉敷 ssl説明資料
0805wordbench倉敷
0805wordbench倉敷
Recently uploaded
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
Recently uploaded
(9)
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
0325できる?どうやる!word pressのセキュリティ運用
1.
Copyright © NHN
Techorus Corp. NHNテコラス株式会社 SME事業部 平賀 真琴 できる?どうやる! WordPressのセキュリティ運用
2.
Page 2 自己紹介 平賀 真琴
(ひらが まこと) • 所属:NHNテコラス株式会社 • 担当:「エクスクラウド(EX-CLOUD)」 販促・マーケ担当 • 趣味:車、キャンプ、DIY • 前職:Iaas営業、自動車部品メーカー、 人材営業 • その他:埼玉県出身、東京町田市在住、 3人家族
3.
Page 3 本日のもくじ ・WordPressの脆弱性とは ・脆弱性攻撃を知る ・攻撃ってどうやる? ・どう運用する?WordPressのセキュリティ対策 ・WordPressのセキュリティ対策 ・脆弱性対策 ・ログイン画面への対策 ・まとめ ・WordPressホスティング
4.
Page 4 WordPressの脆弱性とは ・2016年の脆弱性は約60件:ほとんどがプラグイン ・本体の脆弱性:4.7.0/1 REST
APIの脆弱性等
5.
Page 5 脆弱性攻撃を知る 脆弱性攻撃は脆弱性が公開された直後に集中 ▶対策はスピード勝負 ※OpenSSLの脆弱性を 悪用する国内の攻撃の検 知数および送信元IPア ドレス数の推移 (Tokyo SOC調べ:2014年4月11日~2014年7月31日)
6.
Page 6 脆弱性攻撃を知る 脆弱性対策には全体の1/3が3ヶ月以上を要している ▶対策が全然間に合っていない 攻撃が終わっている タイミング ※ウェブサイトの修正に 要した日数 (IPA ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート
)
7.
Page 7 攻撃ってどうやる?1/2 攻撃ツールについて Google検索により容易にペネトレーションツールが入手できる。
8.
Page 8 攻撃ってどうやる?2/2 攻撃しやすいサイトとは Googleの検索結果で判別できる PHPのエラーメッセージで google検索 脆弱性なし 脆弱性あり 脆弱性あり 脆弱性のあるサイトを 狙いSQLインジェク ション攻撃などを行う
9.
Page 9 どう運用する?WordPressのセキュリティ対策 対応は2つ ・脆弱性を隠す ・ログイン画面への対策
10.
Page 10 脆弱性対策 ・WordPress本体、プラグインの脆弱性を 随時チェックし即座にアップデート(SOC?) ・WAFによる攻撃パケットの無効化 (REST APIの脆弱性も対応)
11.
Page 11 ログイン画面への対策 ①パスワードは強力に ②Fail2banによるSSH、およびWordPress パスワードへのアタック対策 ③Captchaによるログイン二重認証
12.
Page 12 まとめ ・最新版へ即座にアップデート もしくはWAFを活用 ・パスワードは強力に ・ログイン画面へも対策
13.
NHN テコラス株式会社 Copyright
© NHN Techorus Corp. All rights reserved. -13- EX-CLOUD WordPressホスティングのご紹介 超高速!
14.
NHN テコラス株式会社 Copyright
© NHN Techorus Corp. All rights reserved. -14- 最大13段階のサービス 無停止スケールアップ 無料でお試しください
15.
NHN テコラス株式会社 Copyright
© NHN Techorus Corp. All rights reserved. -15- パ ー ト ナ ー 登 録 頂 き ま す と 、 N H N テ コ ラ ス が 運 営 、 参 加 す る 勉 強 会 に 優 先 的 に ご 案 内 し ま す 。 C M S 勉 強 会 、 セ キ ュ リ テ ィ 勉 強 会 等 、 パ ー ト ナ ー 様 同 士 の 交 流 会 や 情 報 交 換 の 機 会 を ご 提 供 し て い ま す 。 E X - C L O U D 各 プ ラ ン や S S L ク ー ポ ン も 最 大 1 7 % O F F の パ ー ト ナ ー 価 格 で ご 利 用 で き ま す 。 実際のイベント風景 テコラスパートナー登録も無料
Editor's Notes
・WPHへのWAF採用裏話 ・なぜ我々はWPプランにWAFを導入・搭載したか?
----- 会議メモ (17/03/24 15:06) ----- 今日はWordPressのセキュリティ対策、主に脆弱性対策について10-15分くらいでお話したいと思います。
----- 会議メモ (17/03/24 15:06) ----- まず、WordPressの脆弱性ってどんなものがあるのか、みていきますと、 これはJPcertさんのJVNという脆弱性データベースに登録されているものを確認したのですが、 2016年に発見された脆弱性は約60件ありました。 これはほとんどがプラグインでした。 平均して月に5件の脆弱性が発生していたことになります。 また、WordPress本体の脆弱性に関しては、最近4.7.0/1で重大なREST APIの脆弱性が発見され、 150万件もの改ざん被害が発生しています。 こちらは猶予期間があり、アップデートは促されていました。
----- 会議メモ (17/03/24 15:06) ----- 次に攻撃者の動きをみていきましょう。これはTokyo SOC というIBMのセキュリティ研究施設のレポートです。 新しい脆弱性が公開されると、そこをトリガーにして、攻撃者の活動が活発化します。 2-3日以内に集中的に攻撃を行います。 これが何を意味しているかというと、攻撃者の情報源は、脆弱性情報であるということです。
----- 会議メモ (17/03/24 15:06) ----- それに対し、サイト運営側の対策スケジュールをみてみますと、全然間に合っていません。 1週間以上たってから対策してもそのときにすでに攻撃者は、飽きて攻撃をやめています。 このように脆弱性対策は瞬時に対策をしなければほとんど意味はありません。 また、同時に攻撃者はITリテラシーが低く、地下室で延々とハッキング行為を行っているわけではないことがわかります。
----- 会議メモ (17/03/24 15:06) ----- 攻撃者はどう攻撃してくるかというと、彼らの業界は分業され、マーケットが確立されており、攻撃ツールが流通しています。 例えばgoogleで検索すると、自動化ツールがたくさん見つかります。 無料ツールから有料ツール(販売、リース、レブシェア型)まであります。
----- 会議メモ (17/03/24 15:06) ----- Googleは世の中の全ての情報をキャッシュしようとしていますので、 サイトの脆弱性も同時にキャッシュしてしまっています。 詳細な方法は今回割愛させて頂きますが、gppgleで脆弱性のあるサイトは検索一覧が表示されますので、 それを上から順に、攻撃ツールを使って乱れ打ちしていく、という流れです。 ちなみにこれはPHPのエラーメッセージの履歴からSQLインジェクションのターゲット先を検索した例です。
----- 会議メモ (17/03/24 15:06) ----- WordPressのセキュリティ対策は基本的には2つです。 ・脆弱性対策 ・ログイン画面への対策 の2つです。
----- 会議メモ (17/03/24 15:06) ----- ・WordPress本体、プラグインの脆弱性を随時チェック、まずはアップデート、検証はする余裕なし。 ・WAFによる自動化 REST APIの脆弱性も
----- 会議メモ (17/03/24 15:06) ----- 過去にECサイトがSQLインジェクションを受けて個人情報流出した裁判があり、その時のログイン情報が、 admin/passwordだった、なんてのがあり、2000万の受注したのに賠償額が2300万円だった、なんてことがありましたが、 いわゆる ・想像されやすいパスワード ・一般的な弱いバスワード で正しくログインされてしまうと、セキュリティ対策は意味がありません。 同時に ・ユーザー名と編集者名変える ・管理画面のログインURL変える ということも有効です。 次に ・ブルートフォースアタック(またはリバースブルートフォースアタック) ・ディクショナリーアタック などによる不正アクセスには、 Fail2banによる自動のアタック対策をしたり、ログイン画面に2要素認証(キャプチャ認証とか)を入れて回避することが有効な対策です。
----- 会議メモ (17/03/24 15:06) ----- 最新版へ随時アップデート、副作用を気をつけている時間はありません。 もしくはWAFを活用して自動化してください。 パスワードは強力に ログイン画面へも対策
・クライアントに提案するときはこういったプランを提案してください
Download now