wivern ロゴ

サイバーセキュリティ研究所

サイバーセキュリティを中心に、軍事、防犯、サーバーの管理と監視、その他、最新技術を研究しています。


WordCampTokyo2016 に参加しました

徳丸浩版「WordPressの効果的な防御法」

WordCampTokyo2016

安全な Web アプリケーションの作り方」の著者としても有名な徳丸さんが、今回の WordCampTokyo2016 でセキュリティ系のセッションで登壇されると聞いて参加してきました。

セッションは「CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう」。

70 分に及ぶセッションの中で、CMS 四天王( WordPress、Joomla、Drupal、MovableType )の主に既知の脆弱性を突いての攻撃デモが実演されました。

立て板に水のように手慣れたデモが続いて、使われているツール類には特に言及はありませんでしたが、ローカル・プロキシには「Burp Suite」が使われていました。

攻撃デモの後半で、「WPScan」を使って、管理者のアカウントがあっさり確定される様子も実演されました。

WordPress のセキュリティ系プラグインとしては、SiteGuard WP Plugin が勧められていました。

と、ここまでは想定の範囲内で、セキュリティ関係に携わる人間にはことさら目新しいデモや情報ではなかったのですが、私としては本セッションの結論とも言える「効果的な防御法」を徳丸さんがどう考えておられるかに興味津々でした。

この「効果的な防御法」については、セッションの終盤でスライドを表示しながらの解説になりました。

この終盤のスライドとそれにまつわる解説は大変参考になりましたが、現時点でご本人がスライドを公開されておられないので、最後の「まとめ」の1枚だけをスライドから書き起こして紹介させていただきます。(原文まま)

まとめ
・CMS四天王を題材として、Webサイトへの不正アクセスの手法を紹介
 -CMS自体の脆弱性
 -CMSのプラグインの脆弱性
 -WordPressへの不正ログイン
 -クラウドの管理画面への不正ログイン
・不正ログイン対策は、とにかく良質のパスワードをつけること
・脆弱性対策は、パッチ適用かバージョンアップ
・WordPress本体、プラグイン、テーマのアップデートは特に重要
 -できれば自動アップデートで
・世の中の「WordPressのセキュリティ記事」は緩和策を勧めるものが多いが、本当大切なことは「根本的解決策」
 -パスワードをしっかり
 -パッチ適用またはバージョンアップ

参考:
WordCampTokyo2015 での徳丸さんのスライドが公開されています。

『Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)』
http://www.slideshare.net/ockeghem/wordcamptokyo2015


記述に際しては、細心の注意をしたつもりですが、間違いやご指摘がありましたら、こちらからお知らせいただけると幸いです。


→「不正アクセス IP アドレスリスト」
←「LordPE 日本語解説」


« 戻る