徳丸本VMに脆弱なWordPressを導入する

416 Views

April 22, 20

スライド概要

徳丸本の実習用VM(Debian9 / PHP 7.0 / Apache2.4 / MariaDB)に脆弱なWordPress 4.7.1 を導入して、脆弱性実習環境を作ってみました。脆弱性の実習は続編で説明します。

解説動画はこちら
https://www.youtube.com/watch?v=Vq0fpWhRThk

profile-image

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員 YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 https://j.mp/web-sec-study

シェア

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

徳丸本VMに脆弱なWordPressを導入する EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩

2.

徳丸本実習環境VMは以下の構成 OS PHP HTTPd Reverese Proxy SQL DB SMTPd POP3 / IMAP4 メーラ DB管理ソフト Debian 9 (32bit) PHP 5.3.3 / 7.0.27 Apache 2.4.25 Nginx 1.10.3 MariaDB 10.1.26 Postfix 3.1.8 Dovecot 2.2.27 RoundCube 1.2.3 phpMyAdmin 4.6.6 2

3.

/var/www/html/wp にWordPressを導入する環境を設定する • /etc/apache2/sites-available/wp.conf を編集する <LocationMatch "^/wp/.*\.php$"> SetHandler application/x-httpd-php </LocationMatch> <Directory /var/www/html/wp/> AllowOverride All </Directory> # PHP 7.0 を有効にする # .htaccess を有効にする • 設定を有効にする – sudo a2ensite wp – sudo a2enmod rewrite – sudo systemctl restart apache2 # wp.confを有効にする # mod_rewriteを有効化 # Apacheの再起動 © 2016-2020 Hiroshi Tokumaru 3

4.

WordPress 4.7.1をダウンロード、展開する $ cd ~ $ wget https://ja.wordpress.org/wordpress-4.7.1-ja.zip # ダウンロード $ unzip wordpress-4.7.1-ja.zip # ファイルの展開 $ cd /var/www/html # ディレクトリ移動 $ sudo mv ~/wordpress wp # 一式を移動 $ sudo chown -R www-data:www-data wp # ファイルオーナー変更 © 2016-2020 Hiroshi Tokumaru 4

5.

MySQL (MariaDB) にユーザーとデーターベースを作成 • phpMyAdminを起動、ログイン • ユーザーとデータベースを同時に作成 – ユーザー: wp – パスワード: wasbook © 2016-2020 Hiroshi Tokumaru 5

6.

WordPressのインストール • インストーラーを起動 • データベースの設定を入力 – – – – ユーザー: wp パスワード: wasbook サーバー: localhost (デフォルト) テーブル接頭辞: wp_ © 2016-2020 Hiroshi Tokumaru 6

7.

WordPressの設定 • WordPressの初期設定項目を入力 – – – – サイトのタイトル: WP471 (任意) ユーザー名: admin パスワード: wasbook (任意…本番では強固なものを設定する) メールアドレス: wasbook@example.jp (VMにて設定済み) © 2016-2020 Hiroshi Tokumaru 7

8.

徳丸浩へのお仕事の依頼は EGセキュアソリューションズ株式会社まで https://www.eg-secure.co.jp/ チャンネル登録お願いします 徳丸浩のウェブセキュリティ講座 https://j.mp/web-sec-study © 2020 Hiroshi Tokumaru 8