Upload
junji-manno
View
1.190
Download
6
Embed Size (px)
DESCRIPTION
Wordbench fukuoka 3.6回目の発表資料。 主にWordPress設置時のパーミッション、lolipopでのWAFの利用。セキュリティ関連のプラグインの説明など。
Citation preview
WORDBENCH FUKUOKA3.6回目
2013年9月27日
1
• 万野 潤二
• minneチームの開発
• 以前はlolipopの開発など
• 個人活動
• Wordpress workshop(主に糸島方面で点々と)
• 糸島芸農(AAFプロジェクト)
2
3
WORDPRESSのパーミッション
• 8月下旬にロリポップに対する大規模な攻撃、サイトの改竄が発生。
• ロリポップレンタルサーバーへの攻撃を防ぐためにwp-config.phpのパーミッションを400に変更、install.phpを000に変更。またデータベースのパスワード変更実施など。
• Codex(http://wpdocs.sourceforge.jp/ファイルパーミッションの変更)にWordPressで推奨するパーミッション構成が記載されています。
• 400だと、所有者の読み込み権限のみ。ただし、これだと不都合がある。
4
WP-CONFIG.PHP
• wp-config.phpに設定を書き込む必要のあるプラグイン
•例えばwp super cacheの場合 、以下のような設定が必要となる(が、書けない)
define('WP_CACHE', true); define( 'WPCACHEHOME', '/home/users/1/lolipop.jp-manno/web/wbf0927/wp-content/plugins/wp-super-cache/' );
5
6
所有者に書き込み権限を付与する 600 rw-------
7
8
WAFの導入
• SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーション上の脆弱性をカバーする装置。WAFは通常のファイアウォールと同様にすべてのHTTP/HTTPSトラフィックを中継し、通信の内容を精査する。GNUライセンスの下で公開されているオープンソースのWebアプリケーションファイアウォール
9
ロリポップなら簡単に利用することが出来ます
10
ADMIN USER
• ユーザー名に”admin”であってはいけない by HostGatorhttp://blog.hostgator.com/2013/04/11/global-wordpress-brute-force-flood/
• ブルート・フォース・アタックの標的
• 管理者権限剥奪、権限悪用、個人情報漏洩...
• 攻撃されやすいユーザー名あるある
• admin, 123456, demo, administrator, root, webmaster, test...
11
GOOD BY ADMIN..
•作成されたアカウントadminは削除できない→ってワケでもない
• DBからアカウントをリネームはリスクが高い→これは避けたい
•解決してくれるのが Admin renamer extended
•文字通り簡単にリネームしてくれるプラグイン
12
13
Limit Login Attempts
• Wordpressは何度もログインに失敗してもリトライ制限はない。
• ブルートフォースアタックの格好の餌食になり易い。
• http://wordpress.org/plugins/limit-login-attempts/
• 機械攻撃を防止
• ログイン認証リトライ回数制限など
14
15
16
SI CAPTCHA Anti-Spam
• http://wordpress.org/plugins/si-captcha-for-wordpress/
•機械攻撃を防止
17
18
19
ThreeWP Activity Monitor
•ログイン履歴を管理するプラグイン
20
21
•セキュリティ対策はすごく大事。
•優良なセキュリティプラグインが充実している。
•使っていない方は早速導入してみましょう。
22