こんにちは、hachi8833です。
登壇します。10月25日(火)19:00 大手町。WordPressセキュリティの基礎と対策をデモを交えてたっぷりとお話します / “【学ぶ夜シリーズ・第2弾】徳丸浩とWordPressのセキュリティを学ぶ夜【無料セキュリティセ…” https://t.co/BPMvnnQOhJ
— 徳丸 浩 (@ockeghem) 2016年10月14日
この一通のツィートをきっかけに、10月25日19:00より大手町ファーストスクエア カンファレンスにて開講された【学ぶ夜シリーズ・第二弾】徳丸浩とWordPress セキュリティを学ぶ夜【無料 セキュリティセミナー】に、弊社Webチームからmorimorihoge、ika、hachi8833の3名で参加してまいりました。
セミナーの概要
同セミナーは、セキュリティコンサルティングのHASH コンサルティング株式会社と、WordPressのホスティング・クラウドインテグレーションのプライム・ストラテジー株式会社によって主催されました。
登壇者は、HASH コンサルティング株式会社代表取締役であり『体系的に学ぶ 安全なWebアプリケーションの作り方』や『徳丸浩のWebセキュリティ教室』の著者でもある、セキュリティ・コンサルタントの徳丸浩先生です。
徳丸先生の一連の書籍は、Webサイト運営担当者やセキュリティ関係者はもちろん、IT開発者にも広く知られています。
セミナーの構成
セミナーは二部構成でした。前半が徳丸先生によるWorpPressに絞ったセキュリティに関する現状の脅威、対策、実演。後半がプライム・ストラテジーによるKUSANAGI Ready プロジェクトの紹介です。
当日の参加者は75名で、私どもの見たところでは多くがWordPressの運営に関わっている非開発者だったような印象でした。
徳丸先生によるサーバー攻撃の実演は、こういったものを普段実地でまとめて見る機会がないので貴重な体験でした。講演経験が豊富なので、攻撃の実演の手際がとてもスムーズでした。
生々しい侵入の実例や裏話も盛りだくさんでした。未成年によるサイト侵入・改ざんの事例も紹介されていましたが、今やこうしたことも普通になっていますね。
徳丸先生のセミナーの要点
以下、セミナーの要点の一部を簡潔に記載いたします。いずれもWeb開発者なら押さえておきたい知識です。
詳しくは、今後開催される徳丸先生のセミナーに参加することをおすすめいたします。
WordPress本体のセキュリティ
WordPressはCMSで長年トップシェアを占めており、多くの改良や修正を重ねてきたこともあって、WordPress本体では近年大きな脆弱性は見つかっていません。もちろん油断は禁物ですが。
プラグインやテーマのセキュリティ
WordPress本体よりも、プラグインやテーマによって脆弱性が持ち込まれる可能性が高いので、プラグインやテーマは厳選し、不要なものは削除しましょう。
また、ユーザーが追加・カスタマイズしたPHPコードも脆弱性の原因になりやすいので、重点的なチェックが必要です。
SiteGuard WPプラグインはセキュリティの強化に有効な機能を多数搭載しており、プラグイン自体のセキュリティも精査されているので、導入をおすすめします。
Webサイトの侵入経路
Webサイトへのネットからの侵入経路は、「管理用のツールの認証を突破される」「ソフトウェアの脆弱性を悪用される」の2種類しかありません。したがって、対策もこの2つが対象となります。
パスワード対策が最優先
ユーザー名を「admin」以外に変えるなどの小手先の対策よりも、ユーザー全員のパスワードを強化することが絶対に重要です。
辞書に載っている言葉を使っている、英数字が混ざらずに分離している(abcd123など)、他所で使い回している、といった弱いパスワードを一人でも使っていれば、そこが弱点になってしまいます。明日にでも対策を開始しましょう。
プラグインやテーマの開発者へ
どんなに時間がなくても、せめてIPAの「安全なウェブサイトの作り方」ぐらいは読んでおいてください。
Webセキュリティの専門書ももちろん読んでおき、そのうえでWordPress APIのセキュリティ機能をよく理解しておきましょう。特にSQLインジェクションはサイトを完全に奪われる可能性につながるので、徹底的に避けてください。
パーミッション
開発者やインフラエンジニアが自分たちの作業を邪魔されたくないばかりに、WordPressのファイルやディレクトリのパーミッションを緩めに設定してしまうことがあります。これはやめてください。シンボリックリンク攻撃などの足がかりに使われる可能性があります。
WordPressやOSのアップグレード
WordPressのみならず、PHPやOSについても継続的なパッチ適用やアップグレードが必要です。Linuxならディストリビューションのパッケージ管理ツール(aptやyumなど)を使うことで管理の手間を軽減できます。
根本的な対策を最優先に
「侵入されにくくする対策」や「侵入後の被害を緩和する対策」より先に、前述のパスワード強化やセキュリティホールの修復といった根本的解決策を急いでください。
参加を終えて
WordPressは長年に渡りCMS業界でトップの座を維持していることもあって、本体のセキュリティについては昔と比べてかなり安定度が増しているという印象を受けました。
WordPressはサイトドメイン名などの多くの情報をデータベースに直接保存するので、ファイルだけではチェックしきれない部分が多く、WordPressに保存されているデータのセキュリティをチェックする一般的なツールもまだないようなので、開発側としてはそこが課題になりやすいと思えました。
実名は引用しませんが、実際に起きた侵入の事例のひとつで「事前の対策や事後の対応はよく行われており、むしろサイト運営側はよくやっていた」と徳丸先生が講評を加えていたのも印象的でした。
一緒に参加したWebチーム若手のikaさんは、後日「PSNの情報漏えいはひどかったですよ」としみじみ思い返していました。
そうそう、プラグインによってはWordPressの標準から外れたファイル/ディレクトリパーミッションを設定したり要求したりするものがあるので、そこも用心が必要ですね。