WordPressを利用するときに気をつけるセキュリティの話
3.3K Views
February 05, 24
スライド概要
静岡 WordPress Meetup で使用したWordPressのセキュリティの話をまとめたスライドです。
主にWordPressでの開発やサーバーの構築や管理・WordPressコンサルティングをしているフリーランサー。 「静岡 WordPress Meetup」の共同オーガナイザーや「WordCamp Tokyo」「WordCamp Japan」のスタッフ・登壇などWordPressのコミュニティ活動も行なっています。 アイコンはたぬき。
関連スライド
各ページのテキスト
セキュリティの基本と WordPress 〜 WordPressを利用するときに気をつけるセキュリティ 〜
Hello!! Name : 遠藤 進悟(たぬき) フリーランサー(たぬきのWeb万屋) フルリモートワーク(静岡県富士宮市在住) contact me at URL: https://wp-t.net/ SNS(X): @TanukiCTO
Community!! ● ● ● ● ● WordCamp Tokyo 2013 - 2019 ・ 2023 スタッフ Shizuoka WordPress Meetup 共同オーガナイザー OSC浜名湖出展 WordPress Mega Meetup 2022 Fall 登壇 WordPress Contribution History ○ ○ ○ ○ Meetup Organizer WordCamp Organizer WordCamp Speaker Plugin Developer
Works!! ● WordPressの設計・構築・保守・コンサルティング ● VPS/クラウドの設計・構築・保守 ● WordPressのスポットカスタマイズ ● 制作者・制作会社サポート etc...
WordPressのセキュリティ対 策してますか? どんな対策をしているか、思い出してみましょう・・・
1. セキュリティの基本を知る 2. WordPressでの対策を知る 3. まとめ
1 セキュリティの基本を知る WordPressへの攻撃の種類をざっくりと知っておこう
ざっくりとした攻撃の分類 特定標的型 無差別型 明確な意思と目的を持った攻撃者が 特定の組織に対して情報の窃取や削 除のために行う攻撃。 価値の高い個人情報を管理している 組織が狙われることが多い。 不特定多数の対象に対して、機械 的に攻撃を行い、ランサムウェアや フィッシィング誘導などの改ざんや 乗っ取りなどを行う。 一般的なサイバー攻撃のイメージは こっち! WordPressでまず気をつけなけれ ばならないのはこっち!
Slide title ざっくりとした攻撃の種類 総当たり攻撃 リスト型攻撃 脆弱性を攻撃 ブルートフォースアタックと も呼ばれる。 他のサービスや別サイトか ら流出した情報を利用した り、 辞書に載っている単語 やよくあるパスワードのリスト を利用したりすることで、ロ グインを試みる方法。 WordPress(本体・プラグイ ン・テーマ)やミドルウェア (PHP・Apache)などの勢覚 醒を利用し、侵入や改ざん などを試みる方法。 機械的にパスワードを片っ 端から試していく方法。 ログイン試行をそれだけ試 されるので、負荷も大きくな る。 XSSやSQLインジェクション など。
サンプルケース ● WordPressでWebサイトを作って公開していた ● Webサイトが改ざんされる ● 海外のサイトにリダイレクトされてしまう わりとよくある事例 だいたい最初に出てくる情報はこのくらいで、どこから操作されたのか 不明 何が問題だったのか推測してみよう
考えられる原因の例 ● 管理画面にログインされて書き換えられた? ● プラグインの脆弱性を利用された? ● 別の箇所からファイルを書き換えられた? 情報が少なすぎてどんな可能性も考えられる状態 考えられる攻撃パターンへの対策をしておく必要がある みんな「自分が狙われると思っていなかった」と言う
攻撃者は 「あなた」のWebサイトを狙っている のではなく、 「すべて」のWebサイトを狙っている のです
2 WordPressでの対策を知る WordPressでの具体的な対策を知っておこう
総当たり攻撃 ● ユーザー名 admin を使用しない ● 良いパスワードを使用する ● ログイン試行回数を制限する ● ログインページ(wp-login.php,wp-admin)をアクセス制限する ● ログインURLを変更する ● xmlrpc.phpを無効化する
リスト型攻撃 ● 総当たり攻撃の対策全部 ● 他のサイトで使ったIDとパスワードを再利用しない ● パスワードは意味のない大文字小文字数字を含んだ文字列で ● ログを取り、ブラックリスト(IP、ユーザIDなど)で対策 ● 利用していないアカウントの削除 ● 利用者ごとにユーザーを発行(権限を分ける)
脆弱性を攻撃 ● WordPressは常に最新版に ● プラグインやテーマも常に最新版に ● PHPやその他サーバー環境もできる限りアップデートを行う ● カスタマイズをするときはWordPressの仕組みを利用する ● 更新のなくなったプラグインやテーマは利用しない ● 定期的にプラグインやテーマを見直す ● プラグインをやみくもに増やさない
便利なプラグインの紹介 全部入れる必要はありません。
SiteGuard WP Plugin ● 管理画面アクセス制限 ● ログインページ変更 ● 画像認証 etc... 基本的に必要な対策はこれを入れて設定すれば網羅できる。 ドキュメントも日本語なので、安心。 https://www.jp-secure.com/siteguard_wp_plugin/ https://ja.wordpress.org/plugins/siteguard/
Wordfence Security ● 管理画面アクセス制限 ● 2要素認証 ● ログ取得・ブラックリスト管理 etc... 中級者〜上級者向け できることも多くログ取得で制限をかけたり、セキュリティスキャンをかけ るともできる。 https://ja.wordpress.org/plugins/wordfence/
他にも… ● WP Limit Login Attempts (ログイン試行制限) ● Google Authenticator (2要素認証) ● WPScan (脆弱性チェック) サーバ側で対応できるものもあるため、機能ごとにプラグインを導入す ると、必要ないリソースを読み込むことがなくなる。
修復への道 改ざんされたWordPressサイトを修復するま での流れをみてみよう
Step 1. 隔離環境を作る Step 2. すべてのデータのチェック・修正 Step 3. 元データを削除し、修正データで再公開
① 隔離された環境構築 Webサイトの公開を停止する。 データは改ざんされたものを利用するため、外への通信がされないよう に隔離されている環境を構築する。 ローカル環境で行う場合、バックドアにより外部への通信がされてしまう 可能性があるので、意図的にネットワークを遮断する。 仮想環境で行う場合、ローカルのみと通信が可能なように設定を行う。
Slide ② データのチェック・修正 title データベース テーマ・プラグイン その他のプログラム WordPressの投稿・設定・ カスタマイザーのデータは データベースで管理されて いるため、不明なURLや画 像の読み込みを一括で削 除する必要がある。 目視確認も必要。 テーマやプラグインが書き 換えられている可能性もあ るため、すべて最新の公開 版に変更する。 オリジナルのものに関して は、目視やツールで不明な プログラムや読み込みが行 われていないかのチェック を行う。 WordPress本体や、別途プ ログラムがある場合もチェッ クを行う。 WordPressの場合は、最新 版に置き換えることで対応 可能だが、オリジナルプログ ラムの場合は、別途ツール や目視での確認・修正が必 要。
③ 再公開 公開環境にあるデータの全削除をおこない、修正したもので再構築す る。 すべての環境を新しいものに刷新する必要あり。 パスワードやIDの変更はもちろんのこと、運営計画の見直しや、保守管 理の導入など、運用面での変更も必要。 これだけやっても、元に戻らないこともある。 何より、ユーザーの信用・信頼は戻らない
何かが起こってしまってからでは遅 い! 起こる前の予防策が大事!
3 まとめ 大事なこと、要点のまとめ
まとめ ● まずは知る ● すべてのWebサイトが機械的に狙われている ● 常に攻撃されているという意識で運用・対策する ● 改ざんからの修正は容易ではない ● 信用・信頼の喪失はそのまま自分に降りかかる ● 運用者も制作者もセキュリティの意識をもっと
まとめとは違うアドバイス ● 世のWeb制作会社のWordPressのスキルの差が開いて いっている ● アップデートサポートはしてもらったほうがいい ● Webサイトが見れなくなるより改ざんのほうが怖い ● 改ざんからの修正は工数がすっごいので、リニューアルし たほうが安くなる場合のほうが多い
Thanks!! contact me at @TanukiCTO