0325できる？どうやる！word pressのセキュリティ運用

Copyright © NHN Techorus Corp.

NHN テコラス株式会社SME 事業部平賀　真琴

できる？どうやる！WordPress のセキュリティ運用

Page 　 2

自己紹介

平賀 真琴 （ひらが まこと）

• 所属： NHN テコラス株式会社

• 担当：「エクスクラウド（ EX-CLOUD ）」

　　　　販促・マーケ担当

• 趣味：車、キャンプ、 DIY• 前職： Iaas 営業、自動車部品メーカー、

　　　　　人材営業

• その他：埼玉県出身、東京町田市在住、

　　　　　 3 人家族

Page 　 3

本日のもくじ

・ WordPress の脆弱性とは・脆弱性攻撃を知る・攻撃ってどうやる？・どう運用する？ WordPress のセキュリティ対策・ WordPress のセキュリティ対策・脆弱性対策・ログイン画面への対策・まとめ・ WordPress ホスティング

Page 　 4

WordPress の脆弱性とは

・ 2016 年の脆弱性は約 60 件：ほとんどがプラグイン ・本体の脆弱性： 4.7.0/1 REST API の脆弱性等

Page 　 5

脆弱性攻撃を知る

脆弱性攻撃は脆弱性が公開された直後に集中▶ 対策はスピード勝負

※OpenSSL の脆弱性

を悪用する国内の攻撃の

検知数および送信元 IPアドレス数の推移

（ Tokyo SOC 調べ： 2014 年 4 月 11 日～ 2014 年 7 月 31 日）

Page 　 6

脆弱性攻撃を知る

脆弱性対策には全体の 1/3 が 3 ヶ月以上を要している▶ 対策が全然間に合っていない

攻撃が終わっている

タイミング

※ ウェブサイトの修正

に

要した日数

（ IPA ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レホート ）

Page 　 7

攻撃ってどうやる？ 1/2

攻撃ツールについてGoogle 検索により容易にペネトレーションツールが入手できる。

Page 　 8

攻撃ってどうやる？ 2/2

攻撃しやすいサイトとはGoogle の検索結果で判別できる PHP のエラーメッセージ

で google 検索

脆弱性なし

脆弱性あり

脆弱性あり

脆弱性のあるサイトを狙い SQL インジェクション攻撃などを行う

Page 　 9

どう運用する？ WordPress のセキュリティ対策

対応は２つ

・脆弱性を隠す

・ログイン画面への対策

Page 　 10

脆弱性対策

・ WordPress 本体、プラグインの脆弱性を　随時チェックし即座にアップデート（ SOC? ）

・ WAF による攻撃パケットの無効化　（ REST API の脆弱性も対応）

Page 　 11

ログイン画面への対策

① パスワードは強力に ②Fail2ban による SSH 、および WordPress　パスワードへのアタック対策③Captcha によるログイン二重認証

Page 　 12

まとめ

・最新版へ即座にアップデート　もしくは WAF を活用

・パスワードは強力に

・ログイン画面へも対策

NHN テコラス株式会社　 Copyright © NHN Techorus Corp. All rights reserved. － 13－

EX-CLOUD WordPress ホスティングのご紹介　

超高速！

NHN テコラス株式会社　 Copyright © NHN Techorus Corp. All rights reserved. － 14－

最大 13 段階のサービス無停止スケールアップ

無料でお試しください

NHN テコラス株式会社　 Copyright © NHN Techorus Corp. All rights reserved. － 15－

パ ー ト ナ ー 登 録 頂 き ま す と 、 N H N テ コ ラ ス が 運 営 、 参 加 す る 勉 強 会 に 優 先 的 に ご 案 内 しま す 。 C M S 勉 強 会 、 セ キ ュ リ テ ィ 勉 強 会 等 、 パ ー ト ナ ー 様 同 士 の 交 流 会 や 情 報 交 換 の 機会 を ご 提 供 し て い ま す 。

E X- C L O U D 各 プ ラ ン や SS L ク ー ホ ンも 最 大 1 7 % O F F の パ ー ト ナ ー 価 格 でご 利 用 で き ま す 。

実際のイベント風景

テコラスパートナー登録も無料