WordBench富山 2015年1月第1回

WordBench富山 2015年1月第1回

日 時:平成26年1月26日(月)
場 所:富山新世紀産業機構 情報ビル 第7会議室
参加者:10名
神垣さん、司会 古川さん、佐野さん、ひびのさん、古野さん、水須さん、木倉さん、青山さん、堀田さん、増子(書記)

神垣さんから WordPressのセキュリティについて

WordPressの概要

司会 古川さんより

WordPressは更新が楽

図解-1・静的ファイルだと、FTPでデータをアップロードして更新しなくてはならないが、
WordPressだと、ダッシュボード(管理画面)から、内容のデータを入れるだけで更新できる。
・FTP情報を知らなくても、IDとPWだけでログインして、更新を行える。

WordPressの経緯

新聞社などで使って情報を流したいという意図がありPressという言葉が使われたが、
ほかのシーンでも使用されるようになった。

WordPressにはセキュリティが必要

デフォルトのIDを使用したりなどすると、不正アクセスなどにあいやすい。

WordPressのセキュリティについて

神垣さんより

WordPressの今

・世界のWordPressサイト数 74,124,248サイト
・WordPressのシェアは21.2%
・その他のCMSは14.1%
・さらにシェアは拡大中
・テーマが便利…公式テーマディレクトリ(無料)のものから、制作会社に依頼して作ってもらうものまである。
・ドキュメントが多い(Codex)
・プラグインが多い
・優れた拡張性(フックがある。function.phpに書き加えると、処理を割り込ませたりすることができる。)
これによって、本体ファイルに書き加えなくて良い。
フック一覧が公式サイトにある。
・生産性が高い。スクラッチ、ほかのCMSに比べて、飛躍的に開発時間が少なくて済む。

WordPressをとりまく環境

・シェア拡大に伴い、攻撃者の対象になってきている
・セキュリティのことをよく知らない人でも使えてしまう

改ざん事例
・Gumblarウィルスによる接続情報漏洩 2009年
FTP情報漏えい・不正ログイン・サーバー内ファイル改ざん
※この頃までは、あまりWebを対象にしたウィルスは少なかったが、この頃から増えた。
・ライブラリの脆弱性を突いた不正侵入(2011年)
画像リサイズ用のTrimThumbの脆弱性により、ファイル改ざん。
・ログイン画面のブルーとフォース攻撃(2013年)
・サーバーのファイル権限による改ざん(2013年)

・A社者の場合
バックドアとなるPHPファイルがサーバー内にアップロードされ、ファイル、データベースが改ざんされた。

・B社の場合
パスワードが単純だったので、パスワードをあてられた
<対応>
・改ざんされたページの修正
・サイト内ファイルのスキャン
・不要なユーザーの削除
・管理画面、ログイン画面のベーシック認証設置

具体的な対策方法

環境要因 対策
・サーバー環境の選定
他サイト・ユーザーに影響されにくい環境が望ましい。

・サーバー接続元の制限
サーバーへのアクセスできる環境を制限
最も確実で安全な方法

アプリケーション要因 対策
・最新バージョンに保つ
過去のバージョンには脆弱性が残っている
常に最新版を利用する労力を
≒お金がかかる… 制作者が飲むか、お客様が飲むか。?

-ホームページの償却期間を考える
おおよそ3年たったら新しいものを買う(リニューアルする)
という風に考えていただくのも一手。
3年たつとセキュリティリスクも高まるしデザイン的にも古くなるしね。

-月々の保守契約を考える
コンテンツの更新のみならず、WordPressの更新も行う。
月5000円で最新版に変えますよといったような保守契約を結ぶ。

・管理画面への接続制限(IP制限、Basic認証)
・パスワードの強化、定期的な変更
・ログイン試行回数の制限
・静的表示

StaticPressというプラグインにより表示に
必要なファイルをすべて指定ディレクトリに出力することが可能。

その他 Codex WordPressの安全性を高める

・SFTPを利用する
・パーミッションに注意
・DBのユーザー権限を制限する
・wp-includesディレクトリへの直接アクセスを禁止する
・wp-config.phpへの直接アクセスを禁止する

その他便利なプラグイン

Exploit Scanner
ファイル・データベースの改ざんされた痕跡や、
不正なコードとして利用される関数が使われていないかを
チェックするプラグイン
定期的に実施し、結果の確認を行うとよい