カテゴリー別アーカイブ: セミナー・勉強会

WordCrab 2014

はい、参加してきました! 遠征です!

http://kokucheese.com/event/index/136569/

鉄王さんことWordBench福井の森川さん率いる勉強会、冬のWordPress勉強会の風物詩ですね。
(カニだよ、カニが本番だよ)

よい勉強会でした。勉強会もカニも身が詰まっているのが一番ですね!
記憶に残っているところをたぐり寄せ、今回はメモ形式ではなくきちんと書き記します。

続きを読む

WordBench大阪 10月

大阪遠征第二弾!(第一弾は7月だけどワークショップだったので掲載なし)

セキュリティのお話を聞いてきました!
以下、毎度恒例の自分にしか分からないメモ。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

セキュリティのお話。

攻撃・・・
2001年ごろ:個人 → 名声、脆弱制指摘
現在:プロ、組織犯罪 金銭、情報入手、サービス妨害

改ざんされてもウィルス判定されないコトが多い。
被害がわかるまで時間がかかる。

Webサイトの20%がWordPress → Wordpressの攻撃コードを書けば
1/5は当たる。

eコマースのプラグインの多くに脆弱制が認められている。

防御・・・
サイトを守る
Webサイト防御・・・FTPの盗用防止、OS,AR,FP,Javaアップデートなど
セキュアプロトコルの使用、sshの使用
WAFの使用

WordPressの防御・・・Admin未使用、IDPASSを一緒にしない
本体、プラグインをアップデート
野良プラグイン、野良テーマの使用は控える
更新用のIDPASSの盗用防止
ワンタイムパスワードの使用など

GoogeWebマスターツールの使用
悪意のあるソフトウェアがあると通知がくる。Fetch As Googleツールで削除済みかどうか確認可能。
セーフブラウジング診断ページを使用※あくまでGoogle固有判断

攻撃を受けて復旧することになったら・・・

信頼が置けないデータは使用しない
攻撃を受けた時刻を割り出す→それより前の時間のデータを使う

重要・・・WordPress管理画面はインデックスされる。

 

【さくらさん】
攻撃されるポイント

メールアカウント、FTP、CMS
→SPAM送信の踏み台(受信メールサーバーの受信拒否)
→ファイル改ざん

【ファーストサーバー】
JVN、IPA.go.jpなどでミドルウェアのぜい弱性情報を入手しよう!

共有サーバーにもいろいろある。
OSのみ共有するパターンもあれば、ミドルウェアも共有するパターンもある。
ミドルウェアまで共有すると安くなるが、脆弱性が上がる。

・意外と多い二度目の改ざん
表示だけ直してもほかのディレクトリに改ざんスクリプトがおかれている。
バックアップにもスクリプトがおかれている。 WordPress領域以外もチェック。サーバー領域は一度全削除すること。

【宮内さん】

WPのインストール
→簡単インストールをつかおう!
PHPがCGI版かDSO版どっち?suEXEがどうこう・・・。
これを正しく知らないと本当は手動インストールすべきじゃない!パーミッションが正しく設定できないから。
ということで、簡単インストール推奨。

プラグインやテーマ
→公式ディレクトリにあるものを使おう

プラグインやテーマをえらぶとき、アップデートの日付を確認しましょう。
外部評価も見ましょう。

キャッシュ系・バックアップ系のプラグインは無効化後も
キャッシュ、バックアップフォルダが残ることがきわめて多い。
その結果、GoogleにINDEXされることが多く、そこから抜かれることもある。

【石田さん】
・テーブルPREFIXをそのままにしない。
・プラグインは使わないなら削除。攻撃の足がかりにされる可能性がある。
・wp-config.phpはパーミッション400か404
・運用がはじまったらwp-admin/install.php削除(しちゃだめなのかも知れないけど)

ーーーーーーーーーーーーーーーーーーーーー

座談会

テーブルPREFIXを換える件
→そもそもWPを外すとよいかも? WPの文字列を狙ってるっぽい。
ただ、都市伝説的な感覚もある? うん? 意味ないっぽい?w
Webサーバー乗っ取られたら何でもされちゃうから、あんま効果的ではないかも。

バージョンを隠す
→そもそも秘匿に寄るセキュリティ、これはあまり意味がない説が強い。
ただし、IDをAdminにするのだけはダメ。創始者さんも変えて、って言ってる。

wp-config.phpは400か404。これってほかに何か設定あるのん?
→wp-config.php自体は、400にして動かないなら、そんなサーバー解約しちまえ!w
→400で動くのであれば、777にしてもすぐにはトラブらない。
→ほかのファイルは? ・・・あんまだいじょうぶw
→大手さんはサーバー会社と別にセキュリティ会社とも組んでいる。
わざとサーバーに攻撃をかけてチェックしたり。サーバー会社はタダでチェックしてくれてありがとうw

Exploit Scannerという改ざんチェックプラグインもある
(※むしろこれにお世話になる状況になったら結構いたい)
悪意のあるソースコードは、画像形式になっていたりする。
無理くりテキストエディタでその画像をひらくと悪意のあるソースがぎっしり、とか。
PHPでその画像をrequireするというのはありえないので、そういうコードが
でたりする。

共有SSL
これ単体をONにすれば解決する訳ではない。WAFと組み合わせるなど
考えなければならない。
お客様(ユーザー)に対して共有SSLのメールフォームを使わせたりするのは
「逆にまずい」。
共有SSLの場合、後ろが「sakura.ne.jp」などになっている。
ま・ず、ドメインを統一するために共有SSLを使うな。ドメインを統一することを
念頭に入れるほうが啓蒙的に重要。

ちなみに、海外では共有SSLという概念が、サービスがない。

なぜSSLを使うか?なぜ暗号化するのか?
→あくまでも管理画面の内容を暗号化する。いわゆるサーバーコンパネなど。

PHPMyAdminは最近脆弱性がおおい。
マネージド型であれば比較的攻撃が少ない場合もある。

公式テーマ「hinagata」つかってあげてw

WCAN 2013 Summer

今回もWCAN 2013 Summer 参加してきました。
毎度毎度ながらのメモ書きです。

 

■LT
・てしさん
採用前のエントリーシートの提出数を倍 ⇒ 事前に先輩社員の声を入れる
その中に採用までの流れを書いてもらった。

あ、これは自身のマーケティングメモw
本編は↓からですー。

続きを読む

WCAN mini SEO vol.1 Webクリエイターに足りない本当のSEOスキル

土曜日はWCAN mini SEOのお話で、「SEO検索エンジン最適化」の
住 太陽先生のお話を聞いて参りました!

毎度のことながらですが、べたうちメモ、行きます!
(今日はほんのちょっとだけ記述をキレイにしていますが、それでもメモw)

続きを読む

WordBench Nagoya 5月

本日はWordBench Nagoya5月でした!

そしてな、なんと……初の発表をしてきました( ・w・)ノ
「LESSをがんばって使ってみた」です。
言うよりも見るがはやい、どうぞ、スライド共有します。

http://www.slideshare.net/kuma2515/less-21408807

続きを読む

WordBench Nagoya 2月

はい、23日はWordBench Nagoya2月でしたー!
今回はみんな興味津々の2つのお題!
「カスタムフィールド入門」「アクションフック・フィルターフック入門」でした!
その後、時間が余ったんで久々のアンカンファレンス。

全部めっちゃためになりました!!!!

続きを読む

Talk Note with CSS nite in Nagoya

参加してきました。最後の本音トーク、おもろくもあり意味深もあり。
うん、男も楽しめるセミナーでした★

■Talk Note with CSS nite in Nagoya【Girl’s Talk!!】
http://cssnite-nagoya.jp/girlstalk/

58195_428276527250673_1219321522_n

 

そんでもって、先に終わりがけのことを報告しちゃうけど、
CSS niteでははじめてのプレゼント、ゲットしました。
550234_428356793909313_857998271_n
よーし、ぱぱ試験うけちゃうぞ~~~♪
もともといろんな人から「何か資格とって」とは言われているので、
春先くらいには確実に受けよう! テキスト4000円分儲けた!w

肝心の中身、以下、ただのメモ帳ばりにがりがりメモっただけなので、
あまり役に立たないかもしれませんが、ご容赦あれw

続きを読む

WordBench Nagoya 2013年1月

WordBench Nagoya1月のお題【WordPressをHPBで動かそう!】

HPB、バージョン8くらいのときに触った覚えがあるのですが、
最新のバージョン(17)くらいから、WordPressのサイトでもHPBで触れるようになりました。
今日はその勉強会なわけですが……。
意外と進化していてオドロキです。Macしか持っていけなかったので、以下、メモです★

続きを読む