2015年6月13日土曜日

第42回 WordBench大阪「WordPressとセキュリティ」に参加して #wbosaka

今回は登壇するってことと、間近の発表かいくつかあったので結構前からレジュメを作成してました。ただ自分で作成していてつくづく、分量多くなるなぁって思ってしまいました、まぁ説明は端折ってあとでレジュメみてもらったらいいか...



今回は朝から濃密なWordCamp Kansai 2015の実行委員全体会合があり、これは昼食べとかないとフラフラになるなぁ、でもあまり重たいものは食べたくないってことで薬屋のところにある近くの蕎麦屋に行きました。大盛りだったのですが、ちょうどいい感じで美味しかったですね。


プログラム


以下、「※」は筆者のコメントや思い、あとは筆者がきいたセッションメモになります。

セッション1「WordPressを安全に運用する - セキュリティプラグインの活用 -


SiteGuard WP Plugin」を開発している株式会社ジェイピー・セキュアの齊藤氏(取締役 CTO)が登壇。

狙われるWordPress


不正ログイン、改ざん、コメントスパムなどWordPressのユーザーを悩ませる脅威がいろいろある。

  • 減らない不正ログインの被害
     admin:adminはない、、とは言い切れない。。。
  • 迷惑なコメントスパム
  • 管理ページ(wp-admin)への不正アクセス


WordPressのセキュリティ


攻撃を受けた場合の影響

  • たとえばサイト改ざんされた場合、復旧にかかるコストは大!!
  • スパム配信やマルウェア配信に悪用されてしまう
  • 個人情報が流出した場合は、重大事故になってしまう
セキュリティは大事、、、でもどうすればいいのか。。

セキュリティプラグインの活用


SiteGuard WP Pluginの紹介。

  • 「セキュア」かつ「シンプル・簡単プラグイン」を目指した。

WordPress 3.9以降、Apache 1.3/2.x対応
マルチサイトは検討中

機能


ログインエラー時に、ユーザーが間違っていますとか、パスワードが間違っていますと出てくるが、それは推測されてしまうので隠す機能もある。

ログインの保護


ログインアクセス先の変更(wp-login.php → login_xxxxx)
画像認証も入る

画像認証


アルファベット、数字、ひらがななど、なにを出すかは選択可
ログイン、ユーザー登録、パスワード変更、コメント投稿で設定可能

管理ページアクセス制限


ログイン済みの接続元(IP)であるかを判別、該当しない接続元の場合には404 Not Foundとして応答。IPアドレスが動的に変更しても対応できる。

※これって閉めだされることはないのかな。ログイン済みかどうかはIPアドレスで判定されているけれど、それが動的に変更された場合に該当しない接続元になっちゃうのじゃないかなーと。。このあたり後で質問したいな。
※実際に質問して理解。

これは、wp-admin/ フォルダに対するアクセス制限。
wp-login.php は制限されず、そこを経由してログインに成功すれば、24時間IPアドレスを保持して、直接 wp-admin/ にもアクセスできるということ。

カイトさんが登場して説明


このプラグインは、ログインページを変更しているけれど、それだけでは
wp-admin/ にアクセスすると、変更されたログインページにリダイレクトしてしまう。
ということは、これだけでは意味がない。

したがって、wp-admin/ から隠されたログインページにアクセスできる人を制限する必要がある。それが、「管理ページアクセス制限」である。

つまり隠されたログインページを知っている人がログインしたら、24時間は wp-admin/ から隠されたログインページにリダイレクトは出来るってこと。それ以外の人は、wp-admin/ にアクセスしても not foundのようにいけないようにしてしまう。。

なるほど〜いろいろ考えてるんですね!!
wp-admin/ 以下への直接アクセスがブロックされるので、これはいいアイデアだと思います!また、除外パスもちゃんと設定されてますね(admin-ajax.php とか)

機能をOFFにしたら、24時間覚えているIPアドレスは破棄されるのか

機能をOFFにすると忘れてくれるということ。



通知機能


ログインがあったこと、更新に関する情報をメールで通知

WordPressの脆弱性


CMSの脆弱性のほとんどは拡張機能(ソフトウェア等の脆弱性関連情報に関する届出状況[2015年第1四半期(1月~3月)]の情報をみると9割が拡張機能)。

OSVDB(Open Source Vulnerability Database)の2015年1月-5月では、WordPressの脆弱性が479件登録されている。

WordPress 4.2以下は、コメント登録にStored XSSの脆弱性があった。
コメントに不正なスクリプトをいれこむことができ、実装コードとしてサーバーのPHP情報(phpinfo関数)が取得できちゃったというのが公開されている。

本体やプラグインのバージョンアップ、更新通知機能は必要か


セキュリティの基本として必要と意識してほしい。

まとめ


  1. 不正ログイン対策(ログインの保護、強化)
  2. コメントスパム対策(機械的な排除でも効果大)
  3. 管理ページにアクセスできるIPアドレスを制限する
  4. 最新バージョンを利用する
セキュリティプラグインを有効活用するのがいいでしょう。

多言語対応


あとから直接伺ったところ、ローカナイズはしっかり対応されていてかつ、英語リソースも入っているということ。その他の言語についてはいってくれれば反映するということでした。

セッション2「WordPressとリスク管理」

資料:http://www.slideshare.net/kitanikimiya/42-word-benchwordpress6

筆者が登壇するので、筆者からの速記時点では特に無し。

もくもくの会......

さてなにをするか。。。前の続きをしようかなぁ。

1セクションやって飽きた...
手持ちのプラグインについて WordPress 4.2.2でテストして問題なければ更新しておくか。

って結構要望きてる、、たまにみないとダメだなー。いつのまに1000ダウンロード超えてるんだ....やばい対応せねば!!



2015年6月13日 @kimipooh





0 件のコメント:

コメントを投稿

Google+ Badge