SlideShare a Scribd company logo

0325できる?どうやる!word pressのセキュリティ運用

Download as PPTX, PDF
真琴 平賀
真琴 平賀

【エンタープライズに強いWordPressは楽して作る時代】 wordbench福岡でお話した内容です。

Technology
1 of 15
Copyright © NHN Techorus Corp. NHNテコラス株式会社 SME事業部 平賀 真琴 できる?どうやる! WordPressのセキュリティ運用
Page 2 自己紹介 平賀 真琴 (ひらが まこと) • 所属:NHNテコラス株式会社 • 担当:「エクスクラウド(EX-CLOUD)」 販促・マーケ担当 • 趣味:車、キャンプ、DIY • 前職:Iaas営業、自動車部品メーカー、 人材営業 • その他:埼玉県出身、東京町田市在住、 3人家族
Page 3 本日のもくじ ・WordPressの脆弱性とは ・脆弱性攻撃を知る ・攻撃ってどうやる? ・どう運用する?WordPressのセキュリティ対策 ・WordPressのセキュリティ対策 ・脆弱性対策 ・ログイン画面への対策 ・まとめ ・WordPressホスティング
Page 4 WordPressの脆弱性とは ・2016年の脆弱性は約60件:ほとんどがプラグイン ・本体の脆弱性:4.7.0/1 REST APIの脆弱性等
Page 5 脆弱性攻撃を知る 脆弱性攻撃は脆弱性が公開された直後に集中 ▶対策はスピード勝負 ※OpenSSLの脆弱性を 悪用する国内の攻撃の検 知数および送信元IPア ドレス数の推移 (Tokyo SOC調べ:2014年4月11日~2014年7月31日)
Page 6 脆弱性攻撃を知る 脆弱性対策には全体の1/3が3ヶ月以上を要している ▶対策が全然間に合っていない 攻撃が終わっている タイミング ※ウェブサイトの修正に 要した日数 (IPA ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート )
Page 7 攻撃ってどうやる?1/2 攻撃ツールについて Google検索により容易にペネトレーションツールが入手できる。
Page 8 攻撃ってどうやる?2/2 攻撃しやすいサイトとは Googleの検索結果で判別できる PHPのエラーメッセージで google検索 脆弱性なし 脆弱性あり 脆弱性あり 脆弱性のあるサイトを 狙いSQLインジェク ション攻撃などを行う
Page 9 どう運用する?WordPressのセキュリティ対策 対応は2つ ・脆弱性を隠す ・ログイン画面への対策
Page 10 脆弱性対策 ・WordPress本体、プラグインの脆弱性を 随時チェックし即座にアップデート(SOC?) ・WAFによる攻撃パケットの無効化 (REST APIの脆弱性も対応)
Page 11 ログイン画面への対策 ①パスワードは強力に ②Fail2banによるSSH、およびWordPress パスワードへのアタック対策 ③Captchaによるログイン二重認証
Page 12 まとめ ・最新版へ即座にアップデート もしくはWAFを活用 ・パスワードは強力に ・ログイン画面へも対策
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -13- EX-CLOUD WordPressホスティングのご紹介 超高速!
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -14- 最大13段階のサービス 無停止スケールアップ 無料でお試しください
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -15- パ ー ト ナ ー 登 録 頂 き ま す と 、 N H N テ コ ラ ス が 運 営 、 参 加 す る 勉 強 会 に 優 先 的 に ご 案 内 し ま す 。 C M S 勉 強 会 、 セ キ ュ リ テ ィ 勉 強 会 等 、 パ ー ト ナ ー 様 同 士 の 交 流 会 や 情 報 交 換 の 機 会 を ご 提 供 し て い ま す 。 E X - C L O U D 各 プ ラ ン や S S L ク ー ポ ン も 最 大 1 7 % O F F の パ ー ト ナ ー 価 格 で ご 利 用 で き ま す 。 実際のイベント風景 テコラスパートナー登録も無料

Recommended

かんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなしかんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなしharuna tanaka
 
Wordpress × 帰ってすぐにセキュリティ
Wordpress × 帰ってすぐにセキュリティWordpress × 帰ってすぐにセキュリティ
Wordpress × 帰ってすぐにセキュリティ大司 中神
 
いろんなクラウドの話 ~選び方とはじめ方~
いろんなクラウドの話 ~選び方とはじめ方~いろんなクラウドの話 ~選び方とはじめ方~
いろんなクラウドの話 ~選び方とはじめ方~softlayerjp
 
2018 1030 10min_vegas_traffic
2018 1030 10min_vegas_traffic2018 1030 10min_vegas_traffic
2018 1030 10min_vegas_trafficShinichiro Kawano
 
Kaizenとコーディングで、2年間生き抜いた
Kaizenとコーディングで、2年間生き抜いたKaizenとコーディングで、2年間生き抜いた
Kaizenとコーディングで、2年間生き抜いたToshimichi Suekane
 
コメントスパム対策から始まったWordPress生活
コメントスパム対策から始まったWordPress生活コメントスパム対策から始まったWordPress生活
コメントスパム対策から始まったWordPress生活毅 佐藤
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheLeslie Samuel
 
[Recap仙台]jaws days 2017の裏側
[Recap仙台]jaws days 2017の裏側[Recap仙台]jaws days 2017の裏側
[Recap仙台]jaws days 2017の裏側Takuya Tachibana
 

Recommended

かんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなしかんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなしharuna tanaka
 
Wordpress × 帰ってすぐにセキュリティ
Wordpress × 帰ってすぐにセキュリティWordpress × 帰ってすぐにセキュリティ
Wordpress × 帰ってすぐにセキュリティ大司 中神
 
いろんなクラウドの話 ~選び方とはじめ方~
いろんなクラウドの話 ~選び方とはじめ方~いろんなクラウドの話 ~選び方とはじめ方~
いろんなクラウドの話 ~選び方とはじめ方~softlayerjp
 
2018 1030 10min_vegas_traffic
2018 1030 10min_vegas_traffic2018 1030 10min_vegas_traffic
2018 1030 10min_vegas_trafficShinichiro Kawano
 
Kaizenとコーディングで、2年間生き抜いた
Kaizenとコーディングで、2年間生き抜いたKaizenとコーディングで、2年間生き抜いた
Kaizenとコーディングで、2年間生き抜いたToshimichi Suekane
 
コメントスパム対策から始まったWordPress生活
コメントスパム対策から始まったWordPress生活コメントスパム対策から始まったWordPress生活
コメントスパム対策から始まったWordPress生活毅 佐藤
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheLeslie Samuel
 
[Recap仙台]jaws days 2017の裏側
[Recap仙台]jaws days 2017の裏側[Recap仙台]jaws days 2017の裏側
[Recap仙台]jaws days 2017の裏側Takuya Tachibana
 
How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksHow to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksSlideShare
 
LINE(ライン)の使い方。
LINE(ライン)の使い方。 LINE(ライン)の使い方。
LINE(ライン)の使い方。TOSHIHIKO MICHIBATA
 
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~haruna tanaka
 
Getting Started With SlideShare
Getting Started With SlideShareGetting Started With SlideShare
Getting Started With SlideShareSlideShare
 
KUSANAGIユーザグループ東京 第1回勉強会 資料
KUSANAGIユーザグループ東京 第1回勉強会 資料KUSANAGIユーザグループ東京 第1回勉強会 資料
KUSANAGIユーザグループ東京 第1回勉強会 資料Sumito Tsukada
 
マジモンについてNHN japan 公開用 pdf
マジモンについてNHN japan 公開用 pdfマジモンについてNHN japan 公開用 pdf
マジモンについてNHN japan 公開用 pdfShuhei Hara
 
レンタルサーバーとVPSそしてクラウド
レンタルサーバーとVPSそしてクラウドレンタルサーバーとVPSそしてクラウド
レンタルサーバーとVPSそしてクラウドsnicker_jp
 
A dmatic search_sales_sheet
A dmatic search_sales_sheetA dmatic search_sales_sheet
A dmatic search_sales_sheetTeam-admatic
 
WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?Toyohiko Asai
 
201703 insta vr_jawsug_仙台
201703 insta vr_jawsug_仙台201703 insta vr_jawsug_仙台
201703 insta vr_jawsug_仙台Hideki Ojima
 
機械学習を学ぶための準備 その4(行列について)試験問題
機械学習を学ぶための準備 その4(行列について)試験問題機械学習を学ぶための準備 その4(行列について)試験問題
機械学習を学ぶための準備 その4(行列について)試験問題NHN テコラス株式会社
 
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション) KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション) Kiminori Yokoi
 
第2回勉強会資料 柏木
第2回勉強会資料 柏木第2回勉強会資料 柏木
第2回勉強会資料 柏木beyond0iwamoto
 
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)さくらインターネット株式会社
 
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例NHN テコラス株式会社
 
さくらのIoT Platformを使ってみよう
さくらのIoT Platformを使ってみようさくらのIoT Platformを使ってみよう
さくらのIoT Platformを使ってみよう法林浩之
 
機械学習を学ぶための準備 その3(行列について)試験問題
機械学習を学ぶための準備 その3(行列について)試験問題機械学習を学ぶための準備 その3(行列について)試験問題
機械学習を学ぶための準備 その3(行列について)試験問題NHN テコラス株式会社
 
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)knowledge_sakura
 
Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Mercari ogawa cs_youngmeetup_20170123_今年の抱負Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Mercari ogawa cs_youngmeetup_20170123_今年の抱負Naoki Ogawa
 
Ultrafast WordPress Virtual Word camp2015
Ultrafast WordPress Virtual Word camp2015 Ultrafast WordPress Virtual Word camp2015
Ultrafast WordPress Virtual Word camp2015 Yuta Sakamoto
 
Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威真琴 平賀
 
0709wordbench新潟
0709wordbench新潟0709wordbench新潟
0709wordbench新潟真琴 平賀
 

More Related Content

Viewers also liked

How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksHow to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksSlideShare
 
LINE(ライン)の使い方。
LINE(ライン)の使い方。 LINE(ライン)の使い方。
LINE(ライン)の使い方。TOSHIHIKO MICHIBATA
 
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~haruna tanaka
 
Getting Started With SlideShare
Getting Started With SlideShareGetting Started With SlideShare
Getting Started With SlideShareSlideShare
 
KUSANAGIユーザグループ東京 第1回勉強会 資料
KUSANAGIユーザグループ東京 第1回勉強会 資料KUSANAGIユーザグループ東京 第1回勉強会 資料
KUSANAGIユーザグループ東京 第1回勉強会 資料Sumito Tsukada
 
マジモンについてNHN japan 公開用 pdf
マジモンについてNHN japan 公開用 pdfマジモンについてNHN japan 公開用 pdf
マジモンについてNHN japan 公開用 pdfShuhei Hara
 
レンタルサーバーとVPSそしてクラウド
レンタルサーバーとVPSそしてクラウドレンタルサーバーとVPSそしてクラウド
レンタルサーバーとVPSそしてクラウドsnicker_jp
 
A dmatic search_sales_sheet
A dmatic search_sales_sheetA dmatic search_sales_sheet
A dmatic search_sales_sheetTeam-admatic
 
WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?Toyohiko Asai
 
201703 insta vr_jawsug_仙台
201703 insta vr_jawsug_仙台201703 insta vr_jawsug_仙台
201703 insta vr_jawsug_仙台Hideki Ojima
 
機械学習を学ぶための準備 その4(行列について)試験問題
機械学習を学ぶための準備 その4(行列について)試験問題機械学習を学ぶための準備 その4(行列について)試験問題
機械学習を学ぶための準備 その4(行列について)試験問題NHN テコラス株式会社
 
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション) KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション) Kiminori Yokoi
 
第2回勉強会資料 柏木
第2回勉強会資料 柏木第2回勉強会資料 柏木
第2回勉強会資料 柏木beyond0iwamoto
 
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)さくらインターネット株式会社
 
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例NHN テコラス株式会社
 
さくらのIoT Platformを使ってみよう
さくらのIoT Platformを使ってみようさくらのIoT Platformを使ってみよう
さくらのIoT Platformを使ってみよう法林浩之
 
機械学習を学ぶための準備 その3(行列について)試験問題
機械学習を学ぶための準備 その3(行列について)試験問題機械学習を学ぶための準備 その3(行列について)試験問題
機械学習を学ぶための準備 その3(行列について)試験問題NHN テコラス株式会社
 
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)knowledge_sakura
 
Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Mercari ogawa cs_youngmeetup_20170123_今年の抱負Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Mercari ogawa cs_youngmeetup_20170123_今年の抱負Naoki Ogawa
 
Ultrafast WordPress Virtual Word camp2015
Ultrafast WordPress Virtual Word camp2015 Ultrafast WordPress Virtual Word camp2015
Ultrafast WordPress Virtual Word camp2015 Yuta Sakamoto
 

Viewers also liked (20)

How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksHow to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & Tricks
 
LINE(ライン)の使い方。
LINE(ライン)の使い方。 LINE(ライン)の使い方。
LINE(ライン)の使い方。
 
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
 
Getting Started With SlideShare
Getting Started With SlideShareGetting Started With SlideShare
Getting Started With SlideShare
 
KUSANAGIユーザグループ東京 第1回勉強会 資料
KUSANAGIユーザグループ東京 第1回勉強会 資料KUSANAGIユーザグループ東京 第1回勉強会 資料
KUSANAGIユーザグループ東京 第1回勉強会 資料
 
マジモンについてNHN japan 公開用 pdf
マジモンについてNHN japan 公開用 pdfマジモンについてNHN japan 公開用 pdf
マジモンについてNHN japan 公開用 pdf
 
レンタルサーバーとVPSそしてクラウド
レンタルサーバーとVPSそしてクラウドレンタルサーバーとVPSそしてクラウド
レンタルサーバーとVPSそしてクラウド
 
A dmatic search_sales_sheet
A dmatic search_sales_sheetA dmatic search_sales_sheet
A dmatic search_sales_sheet
 
WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?
 
201703 insta vr_jawsug_仙台
201703 insta vr_jawsug_仙台201703 insta vr_jawsug_仙台
201703 insta vr_jawsug_仙台
 
機械学習を学ぶための準備 その4(行列について)試験問題
機械学習を学ぶための準備 その4(行列について)試験問題機械学習を学ぶための準備 その4(行列について)試験問題
機械学習を学ぶための準備 その4(行列について)試験問題
 
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション) KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
KUSANAGIを触ってみた (WordFes Nagoya 2016 セッション)
 
第2回勉強会資料 柏木
第2回勉強会資料 柏木第2回勉強会資料 柏木
第2回勉強会資料 柏木
 
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
VPSとクラウドの違いと選定のポイント(さくらクラブ愛媛 第4回勉強会 VPSとクラウドの違いを学ぼう)
 
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
データホテル・フルマネージドホスティング サービスを支えるOSSと、活用事例
 
さくらのIoT Platformを使ってみよう
さくらのIoT Platformを使ってみようさくらのIoT Platformを使ってみよう
さくらのIoT Platformを使ってみよう
 
機械学習を学ぶための準備 その3(行列について)試験問題
機械学習を学ぶための準備 その3(行列について)試験問題機械学習を学ぶための準備 その3(行列について)試験問題
機械学習を学ぶための準備 その3(行列について)試験問題
 
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
CS Young Meetup Vol.2(コードキャンプ株式会社 藤本大輔)
 
Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Mercari ogawa cs_youngmeetup_20170123_今年の抱負Mercari ogawa cs_youngmeetup_20170123_今年の抱負
Mercari ogawa cs_youngmeetup_20170123_今年の抱負
 
Ultrafast WordPress Virtual Word camp2015
Ultrafast WordPress Virtual Word camp2015 Ultrafast WordPress Virtual Word camp2015
Ultrafast WordPress Virtual Word camp2015
 

Similar to 0325できる?どうやる!word pressのセキュリティ運用

Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威真琴 平賀
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2tobaru_yuta
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」Masato Kinugawa
 
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップWordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップTakeaki Inoue
 
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」株式会社クライム
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてtobaru_yuta
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー株式会社クライム
 
アジャイルマインドの重要性(長野)
アジャイルマインドの重要性(長野)アジャイルマインドの重要性(長野)
アジャイルマインドの重要性(長野)Akiyah
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information securitySAKURUG co.
 
20101213 Nomad Worker MeetUp
20101213 Nomad Worker MeetUp20101213 Nomad Worker MeetUp
20101213 Nomad Worker MeetUpVisso株式会社
 
2019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.02019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.0Isaac Mathis
 
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016yoshinori matsumoto
 
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策itforum-roundtable
 
【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!
【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!
【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!leverages_event
 

Similar to 0325できる?どうやる!word pressのセキュリティ運用 (20)

Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威
 
0709wordbench新潟
0709wordbench新潟0709wordbench新潟
0709wordbench新潟
 
Mix Leap 0214 security
Mix Leap 0214 securityMix Leap 0214 security
Mix Leap 0214 security
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
 
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップWordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
 
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
 
Web creed
Web creedWeb creed
Web creed
 
アジャイルマインドの重要性(長野)
アジャイルマインドの重要性(長野)アジャイルマインドの重要性(長野)
アジャイルマインドの重要性(長野)
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information security
 
20101213 Nomad Worker MeetUp
20101213 Nomad Worker MeetUp20101213 Nomad Worker MeetUp
20101213 Nomad Worker MeetUp
 
2019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.02019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.0
 
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
 
20171115 社長5年会
20171115 社長5年会20171115 社長5年会
20171115 社長5年会
 
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策
 
FortuneWorksのサービス概要
FortuneWorksのサービス概要FortuneWorksのサービス概要
FortuneWorksのサービス概要
 
【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!
【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!
【ヒカラボ】広告収入で稼ぐ!! アプリマネタイズ術を公開!
 

More from 真琴 平賀

0717cloudgaragemeetup sendai
0717cloudgaragemeetup sendai0717cloudgaragemeetup sendai
0717cloudgaragemeetup sendai真琴 平賀
 
20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~
20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~
20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~真琴 平賀
 
1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~
1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~
1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~真琴 平賀
 
0930常時ssl化するときのサーバまわりの注意点
0930常時ssl化するときのサーバまわりの注意点0930常時ssl化するときのサーバまわりの注意点
0930常時ssl化するときのサーバまわりの注意点真琴 平賀
 
Wb倉敷 ssl説明資料
Wb倉敷 ssl説明資料Wb倉敷 ssl説明資料
Wb倉敷 ssl説明資料真琴 平賀
 

More from 真琴 平賀 (6)

0717cloudgaragemeetup sendai
0717cloudgaragemeetup sendai0717cloudgaragemeetup sendai
0717cloudgaragemeetup sendai
 
20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~
20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~
20180126 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とサーバ選びのコツ~
 
1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~
1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~
1007 wordpressで生き抜くための2つの道具 ~インフラ屋からみた高速化とセキュリティ~
 
0930常時ssl化するときのサーバまわりの注意点
0930常時ssl化するときのサーバまわりの注意点0930常時ssl化するときのサーバまわりの注意点
0930常時ssl化するときのサーバまわりの注意点
 
Wb倉敷 ssl説明資料
Wb倉敷 ssl説明資料Wb倉敷 ssl説明資料
Wb倉敷 ssl説明資料
 
0805wordbench倉敷
0805wordbench倉敷0805wordbench倉敷
0805wordbench倉敷
 

Recently uploaded

[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 

Recently uploaded (9)

[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 

0325できる?どうやる!word pressのセキュリティ運用

Editor's Notes

  1. ・WPHへのWAF採用裏話 ・なぜ我々はWPプランにWAFを導入・搭載したか?
  2. ----- 会議メモ (17/03/24 15:06) ----- 今日はWordPressのセキュリティ対策、主に脆弱性対策について10-15分くらいでお話したいと思います。
  3. ----- 会議メモ (17/03/24 15:06) ----- まず、WordPressの脆弱性ってどんなものがあるのか、みていきますと、 これはJPcertさんのJVNという脆弱性データベースに登録されているものを確認したのですが、 2016年に発見された脆弱性は約60件ありました。 これはほとんどがプラグインでした。 平均して月に5件の脆弱性が発生していたことになります。 また、WordPress本体の脆弱性に関しては、最近4.7.0/1で重大なREST APIの脆弱性が発見され、 150万件もの改ざん被害が発生しています。  こちらは猶予期間があり、アップデートは促されていました。
  4. ----- 会議メモ (17/03/24 15:06) ----- 次に攻撃者の動きをみていきましょう。これはTokyo SOC というIBMのセキュリティ研究施設のレポートです。 新しい脆弱性が公開されると、そこをトリガーにして、攻撃者の活動が活発化します。 2-3日以内に集中的に攻撃を行います。 これが何を意味しているかというと、攻撃者の情報源は、脆弱性情報であるということです。
  5. ----- 会議メモ (17/03/24 15:06) ----- それに対し、サイト運営側の対策スケジュールをみてみますと、全然間に合っていません。 1週間以上たってから対策してもそのときにすでに攻撃者は、飽きて攻撃をやめています。 このように脆弱性対策は瞬時に対策をしなければほとんど意味はありません。 また、同時に攻撃者はITリテラシーが低く、地下室で延々とハッキング行為を行っているわけではないことがわかります。
  6. ----- 会議メモ (17/03/24 15:06) ----- 攻撃者はどう攻撃してくるかというと、彼らの業界は分業され、マーケットが確立されており、攻撃ツールが流通しています。 例えばgoogleで検索すると、自動化ツールがたくさん見つかります。 無料ツールから有料ツール(販売、リース、レブシェア型)まであります。
  7. ----- 会議メモ (17/03/24 15:06) ----- Googleは世の中の全ての情報をキャッシュしようとしていますので、 サイトの脆弱性も同時にキャッシュしてしまっています。 詳細な方法は今回割愛させて頂きますが、gppgleで脆弱性のあるサイトは検索一覧が表示されますので、 それを上から順に、攻撃ツールを使って乱れ打ちしていく、という流れです。 ちなみにこれはPHPのエラーメッセージの履歴からSQLインジェクションのターゲット先を検索した例です。
  8. ----- 会議メモ (17/03/24 15:06) ----- WordPressのセキュリティ対策は基本的には2つです。 ・脆弱性対策 ・ログイン画面への対策 の2つです。
  9. ----- 会議メモ (17/03/24 15:06) ----- ・WordPress本体、プラグインの脆弱性を随時チェック、まずはアップデート、検証はする余裕なし。 ・WAFによる自動化 REST APIの脆弱性も
  10. ----- 会議メモ (17/03/24 15:06) ----- 過去にECサイトがSQLインジェクションを受けて個人情報流出した裁判があり、その時のログイン情報が、 admin/passwordだった、なんてのがあり、2000万の受注したのに賠償額が2300万円だった、なんてことがありましたが、 いわゆる ・想像されやすいパスワード ・一般的な弱いバスワード で正しくログインされてしまうと、セキュリティ対策は意味がありません。 同時に ・ユーザー名と編集者名変える ・管理画面のログインURL変える ということも有効です。 次に ・ブルートフォースアタック(またはリバースブルートフォースアタック) ・ディクショナリーアタック などによる不正アクセスには、 Fail2banによる自動のアタック対策をしたり、ログイン画面に2要素認証(キャプチャ認証とか)を入れて回避することが有効な対策です。
  11. ----- 会議メモ (17/03/24 15:06) ----- 最新版へ随時アップデート、副作用を気をつけている時間はありません。 もしくはWAFを活用して自動化してください。 パスワードは強力に ログイン画面へも対策
  12. ・クライアントに提案するときはこういったプランを提案してください