20150321 第 4 回 nawa tech ～東京・奉納祭～ kogesaka

WordPress における不正アクセス対策

2015/03/21

第 4 回 NAWA Tech～東京・奉納祭～

こげさか

自己紹介

こげさか (kogesaka)• オンライン、SNS で使用

• 小賀坂優 (Yu Kogasaka)

Microsoft MVP• System Center Cloud and Datacenter Management

(Jan 2012 - Dec 2014)

オンライン、SNS• Blog: 焦げlog (http://kogelog.com)

• Twitter: kogesaka (https://twitter.com/kogesaka/)

• Facebook: kogesaka (http://www.facebook.com/kogesaka)

2

http://kogelog.com/

https://twitter.com/kogesaka/

http://www.facebook.com/kogesaka

Microsoft MVP ですが、今回は WordPress について話します

以前のブログ• 無償利用可能な WordPress.com にて構築 (https://kogelog.wordpress.com)

独自ドメイン (kogelog.com) を取得、レンタルサーバー上にWordPress を構築、移行• レイアウトの変更、テーマの適用などカスタマイズが可能

• 様々なブラグインのインストール、利用が可能

• 広告の設定が可能

(局所的に) ブログの移行がブーム

最近ブログ移行しました

https://kogelog.wordpress.com/

ブログのカスタマイズが自由になった反面、

セキュリティ対策は自分で設定する必要があります

メリットばっかりではありません

WordPress からの侵入経路について

WordPress の脆弱性への攻撃• バージョン表示の隠蔽

• 最新バージョンの適用

WordPress のテーマやプラグインの脆弱性への攻撃• 信頼できないテーマやプラグインは利用しない (公式のものを利用)


SQL インジェクション攻撃• テーブルプレフィックスの変更

ID・パスワードの取得を狙った総当たり攻撃による不正アクセス• 推測されやすいユーザーID、パスワードは避ける

• ログの確認

WordPress からの侵入経路について







• ログの確認

大多数を占める

WordPress に不正アクセスされると…

ウイルス、マルウェアなど不正なスクリプトの埋め込み

フィッシングサイト

ページの改ざん

スパムメールの送信, etc…

WordPress の不正アクセス被害

レンタルサーバーに設置した WordPress の不正アクセス被害が後を絶ちません• NEWS｜【重要なお知らせ】WordPressの不正アクセスの注意喚起- http://www.cpi.ad.jp/news/info/20130829.html

• レンタルサーバー「Bizメール＆ウェブエコノミー」（お知らせ（【注意喚起】不正アクセスにご注意ください））｜NTT Com 法人のお客さま- http://www.ntt.com/mw-eco/data/security01.html

• ロリポップ！、WordPress利用サイトで不正アクセスによる改ざん被害 -INTERNET Watch- http://internet.watch.impress.co.jp/docs/news/20130829_613274.html

http://www.cpi.ad.jp/news/info/20130829.html

http://www.ntt.com/mw-eco/data/security01.html

http://internet.watch.impress.co.jp/docs/news/20130829_613274.html

対策は万全?







• ログの確認

具体的な対策方法は?

ログインページおよび管理画面の強化

[メタ情報] – [ログイン]、もしくは URL 直打ちでアクセス可能• 既定では誰からもアクセスすることは可能。

ログインページの強化

Basic 認証によるアクセス制限• 「.htaccess」および「.htpasswd」を作成、WordPress のログインページや管理画面ページに配置し、アクセスを制限する- WordPressの管理画面に制限をかける（ver3.5.1） | Gatespace's Blog

• http://gatespace.jp/2013/05/21/wp-admin-access-restriction-ver3-5-1/

- .htaccess ファイルを簡単作成「.htaccess Editor」

• http://www.htaccesseditor.com/#a_basic

• プラグインを用いて対策することも可能- WordPress › WP Admin Basic Auth « WordPress Plugins

• https://wordpress.org/plugins/wp-admin-basic-auth/

http://gatespace.jp/2013/05/21/wp-admin-access-restriction-ver3-5-1/

http://www.htaccesseditor.com/#a_basic

https://wordpress.org/plugins/wp-admin-basic-auth/

ログインページの強化

Google Authenticator プラグインを用いた 2 段階認証の設定• WordPress › Google Authenticator « WordPress Plugins- https://wordpress.org/plugins/google-authenticator/

https://wordpress.org/plugins/google-authenticator/

不正アクセス対策

Jetpack プラグインのプロテクト機能を用いて総当たり攻撃の対策を行う• WordPress › Jetpack by WordPress.com « WordPress Plugins- https://wordpress.org/plugins/jetpack/

https://wordpress.org/plugins/jetpack/

不正アクセス対策

Simple Login Lockdown プラグインを用いて総当たり攻撃の対策を行う• WordPress › Simple Login Lockdown « WordPress Plugins- https://wordpress.org/plugins/simple-login-lockdown/

https://wordpress.org/plugins/simple-login-lockdown/

ログインユーザー名の秘匿

既定では、投稿記事からログオンユーザー名が判別可能• ニックネームを設定して、投稿者の表示を変える

• 上記対策をしても「＜サイト URL＞/author/ログオンユーザー名」で判別可能

ログインユーザー名の秘匿

Edit Author Slug プラグインを用いて author のスラッグ名を変更• WordPress › Edit Author Slug « WordPress Plugins- https://wordpress.org/plugins/edit-author-slug/

https://wordpress.org/plugins/edit-author-slug/

ログイン履歴の確認

Crazy Bone プラグインをログイン履歴を確認• WordPress › Crazy Bone « WordPress Plugins

https://wordpress.org/plugins/crazy-bone/

• 他のプラグイン (Google Authenticator) との相性が悪く、ログインできなくなることがあるため、注意が必要

https://wordpress.org/plugins/crazy-bone/

まとめ

WordPress における不正アクセス対策は必要

設定やプラグインを用いて適切に対処することが重要

WordPress だけではなく、サーバーへの接続を許可しているサービス、解放しているポートといった不正アクセス対策を行う必要がある

まとめ

WordPress における不正アクセス対策は必要

設定やプラグインを用いて適切に対処することが重要

WordPress だけではなく、サーバーへの接続を許可しているサービス、解放しているポートといった不正アクセス対策を行う必要がある

重要!!

参考 URL

WordPress › 日本語• https://ja.wordpress.org/

WordPress.com:無料のサイトやブログを作成• https://ja.wordpress.com/

FAQ/ハッキング・クラッキング被害 - WordPress Codex 日本語版• http://wpdocs.sourceforge.jp/FAQ/%E3%83%8F%E3%83%83%E3%82%AD%E

3%83%B3%E3%82%B0%E3%83%BB%E3%82%AF%E3%83%A9%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E8%A2%AB%E5%AE%B3

エックスサーバーマニュアル - WordPressセキュリティ設定• http://www.xserver.ne.jp/manual/man_server_wpsecurity.php

https://ja.wordpress.org/

https://ja.wordpress.com/

http://wpdocs.sourceforge.jp/FAQ/%E3%83%8F%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E3%83%BB%E3%82%AF%E3%83%A9%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E8%A2%AB%E5%AE%B3

http://www.xserver.ne.jp/manual/man_server_wpsecurity.php

参考 URL

20140830_ホスティング事業者の視点からみた、WordPressのセキュリティ対策• http://www.slideshare.net/sakura_pr/20140830wordpress

国外IPアドレスフィルタ｜さくらインターネット公式サポートサイト• https://help.sakura.ad.jp/app/answers/detail/a_id/2258

.ftpaccess でFTP接続元を制御する｜さくらインターネット公式サポートサイト• https://help.sakura.ad.jp/app/answers/detail/a_id/2256/~/.ftpaccess-

%E3%81%A7ftp%E6%8E%A5%E7%B6%9A%E5%85%83%E3%82%92%E5%88%B6%E5%BE%A1%E3%81%99%E3%82%8B

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構• https://www.ipa.go.jp/security/vuln/websecurity.html

http://www.slideshare.net/sakura_pr/20140830wordpress

https://help.sakura.ad.jp/app/answers/detail/a_id/2258

https://help.sakura.ad.jp/app/answers/detail/a_id/2256/~/.ftpaccess-%E3%81%A7ftp%E6%8E%A5%E7%B6%9A%E5%85%83%E3%82%92%E5%88%B6%E5%BE%A1%E3%81%99%E3%82%8B

https://www.ipa.go.jp/security/vuln/websecurity.html

おちまい (・Θ・)ノ

20150321 第 4 回 nawa tech ～東京・奉納祭～ kogesaka

Technology