Copyright © NHN Techorus Corp. NHN テテテテテテテテ SME テテテ テテ テテ ででで ででででで ?! WordPress ででででででででで
Copyright © NHN Techorus Corp.
NHN テコラス株式会社SME 事業部平賀 真琴
できる?どうやる!WordPress のセキュリティ運用
Page 2
自己紹介
平賀 真琴 (ひらが まこと)
• 所属: NHN テコラス株式会社
• 担当:「エクスクラウド( EX-CLOUD )」
販促・マーケ担当
• 趣味:車、キャンプ、 DIY• 前職: Iaas 営業、自動車部品メーカー、
人材営業
• その他:埼玉県出身、東京町田市在住、
3 人家族
Page 3
本日のもくじ
・ WordPress の脆弱性とは・脆弱性攻撃を知る・攻撃ってどうやる?・どう運用する? WordPress のセキュリティ対策・ WordPress のセキュリティ対策・脆弱性対策・ログイン画面への対策・まとめ・ WordPress ホスティング
Page 4
WordPress の脆弱性とは
・ 2016 年の脆弱性は約 60 件:ほとんどがプラグイン ・本体の脆弱性: 4.7.0/1 REST API の脆弱性等
Page 5
脆弱性攻撃を知る
脆弱性攻撃は脆弱性が公開された直後に集中▶ 対策はスピード勝負
※OpenSSL の脆弱性
を悪用する国内の攻撃の
検知数および送信元 IPアドレス数の推移
( Tokyo SOC 調べ: 2014 年 4 月 11 日~ 2014 年 7 月 31 日)
Page 6
脆弱性攻撃を知る
脆弱性対策には全体の 1/3 が 3 ヶ月以上を要している▶ 対策が全然間に合っていない
攻撃が終わっている
タイミング
※ ウェブサイトの修正
に
要した日数
( IPA ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レホート )
Page 7
攻撃ってどうやる? 1/2
攻撃ツールについてGoogle 検索により容易にペネトレーションツールが入手できる。
Page 8
攻撃ってどうやる? 2/2
攻撃しやすいサイトとはGoogle の検索結果で判別できる PHP のエラーメッセージ
で google 検索
脆弱性なし
脆弱性あり
脆弱性あり
脆弱性のあるサイトを狙い SQL インジェクション攻撃などを行う
Page 9
どう運用する? WordPress のセキュリティ対策
対応は2つ
・脆弱性を隠す
・ログイン画面への対策
Page 10
脆弱性対策
・ WordPress 本体、プラグインの脆弱性を 随時チェックし即座にアップデート( SOC? )
・ WAF による攻撃パケットの無効化 ( REST API の脆弱性も対応)
Page 11
ログイン画面への対策
① パスワードは強力に ②Fail2ban による SSH 、および WordPress パスワードへのアタック対策③Captcha によるログイン二重認証
Page 12
まとめ
・最新版へ即座にアップデート もしくは WAF を活用
・パスワードは強力に
・ログイン画面へも対策
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. - 13-
EX-CLOUD WordPress ホスティングのご紹介
超高速!
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. - 14-
最大 13 段階のサービス無停止スケールアップ
無料でお試しください
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. - 15-
パ ー ト ナ ー 登 録 頂 き ま す と 、 N H N テ コ ラ ス が 運 営 、 参 加 す る 勉 強 会 に 優 先 的 に ご 案 内 しま す 。 C M S 勉 強 会 、 セ キ ュ リ テ ィ 勉 強 会 等 、 パ ー ト ナ ー 様 同 士 の 交 流 会 や 情 報 交 換 の 機会 を ご 提 供 し て い ま す 。
E X- C L O U D 各 プ ラ ン や SS L ク ー ホ ンも 最 大 1 7 % O F F の パ ー ト ナ ー 価 格 でご 利 用 で き ま す 。
実際のイベント風景
テコラスパートナー登録も無料