月別アーカイブ: 2013年10月

WordBench大阪 10月

大阪遠征第二弾!(第一弾は7月だけどワークショップだったので掲載なし)

セキュリティのお話を聞いてきました!
以下、毎度恒例の自分にしか分からないメモ。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

セキュリティのお話。

攻撃・・・
2001年ごろ:個人 → 名声、脆弱制指摘
現在:プロ、組織犯罪 金銭、情報入手、サービス妨害

改ざんされてもウィルス判定されないコトが多い。
被害がわかるまで時間がかかる。

Webサイトの20%がWordPress → Wordpressの攻撃コードを書けば
1/5は当たる。

eコマースのプラグインの多くに脆弱制が認められている。

防御・・・
サイトを守る
Webサイト防御・・・FTPの盗用防止、OS,AR,FP,Javaアップデートなど
セキュアプロトコルの使用、sshの使用
WAFの使用

WordPressの防御・・・Admin未使用、IDPASSを一緒にしない
本体、プラグインをアップデート
野良プラグイン、野良テーマの使用は控える
更新用のIDPASSの盗用防止
ワンタイムパスワードの使用など

GoogeWebマスターツールの使用
悪意のあるソフトウェアがあると通知がくる。Fetch As Googleツールで削除済みかどうか確認可能。
セーフブラウジング診断ページを使用※あくまでGoogle固有判断

攻撃を受けて復旧することになったら・・・

信頼が置けないデータは使用しない
攻撃を受けた時刻を割り出す→それより前の時間のデータを使う

重要・・・WordPress管理画面はインデックスされる。

 

【さくらさん】
攻撃されるポイント

メールアカウント、FTP、CMS
→SPAM送信の踏み台(受信メールサーバーの受信拒否)
→ファイル改ざん

【ファーストサーバー】
JVN、IPA.go.jpなどでミドルウェアのぜい弱性情報を入手しよう!

共有サーバーにもいろいろある。
OSのみ共有するパターンもあれば、ミドルウェアも共有するパターンもある。
ミドルウェアまで共有すると安くなるが、脆弱性が上がる。

・意外と多い二度目の改ざん
表示だけ直してもほかのディレクトリに改ざんスクリプトがおかれている。
バックアップにもスクリプトがおかれている。 WordPress領域以外もチェック。サーバー領域は一度全削除すること。

【宮内さん】

WPのインストール
→簡単インストールをつかおう!
PHPがCGI版かDSO版どっち?suEXEがどうこう・・・。
これを正しく知らないと本当は手動インストールすべきじゃない!パーミッションが正しく設定できないから。
ということで、簡単インストール推奨。

プラグインやテーマ
→公式ディレクトリにあるものを使おう

プラグインやテーマをえらぶとき、アップデートの日付を確認しましょう。
外部評価も見ましょう。

キャッシュ系・バックアップ系のプラグインは無効化後も
キャッシュ、バックアップフォルダが残ることがきわめて多い。
その結果、GoogleにINDEXされることが多く、そこから抜かれることもある。

【石田さん】
・テーブルPREFIXをそのままにしない。
・プラグインは使わないなら削除。攻撃の足がかりにされる可能性がある。
・wp-config.phpはパーミッション400か404
・運用がはじまったらwp-admin/install.php削除(しちゃだめなのかも知れないけど)

ーーーーーーーーーーーーーーーーーーーーー

座談会

テーブルPREFIXを換える件
→そもそもWPを外すとよいかも? WPの文字列を狙ってるっぽい。
ただ、都市伝説的な感覚もある? うん? 意味ないっぽい?w
Webサーバー乗っ取られたら何でもされちゃうから、あんま効果的ではないかも。

バージョンを隠す
→そもそも秘匿に寄るセキュリティ、これはあまり意味がない説が強い。
ただし、IDをAdminにするのだけはダメ。創始者さんも変えて、って言ってる。

wp-config.phpは400か404。これってほかに何か設定あるのん?
→wp-config.php自体は、400にして動かないなら、そんなサーバー解約しちまえ!w
→400で動くのであれば、777にしてもすぐにはトラブらない。
→ほかのファイルは? ・・・あんまだいじょうぶw
→大手さんはサーバー会社と別にセキュリティ会社とも組んでいる。
わざとサーバーに攻撃をかけてチェックしたり。サーバー会社はタダでチェックしてくれてありがとうw

Exploit Scannerという改ざんチェックプラグインもある
(※むしろこれにお世話になる状況になったら結構いたい)
悪意のあるソースコードは、画像形式になっていたりする。
無理くりテキストエディタでその画像をひらくと悪意のあるソースがぎっしり、とか。
PHPでその画像をrequireするというのはありえないので、そういうコードが
でたりする。

共有SSL
これ単体をONにすれば解決する訳ではない。WAFと組み合わせるなど
考えなければならない。
お客様(ユーザー)に対して共有SSLのメールフォームを使わせたりするのは
「逆にまずい」。
共有SSLの場合、後ろが「sakura.ne.jp」などになっている。
ま・ず、ドメインを統一するために共有SSLを使うな。ドメインを統一することを
念頭に入れるほうが啓蒙的に重要。

ちなみに、海外では共有SSLという概念が、サービスがない。

なぜSSLを使うか?なぜ暗号化するのか?
→あくまでも管理画面の内容を暗号化する。いわゆるサーバーコンパネなど。

PHPMyAdminは最近脆弱性がおおい。
マネージド型であれば比較的攻撃が少ない場合もある。

公式テーマ「hinagata」つかってあげてw

Outlook.comを使って独自ドメインのメールを使えるようにしてみた【鉄王さん補足版】

GoogleAppsを使って独自ドメインのメールを紐付けている人は多くいると思いますがー。

GoogleApps、有料なんですよね。
どうして無料のころにアカウント取っておかなかったのか…悔やまれますわー。

ところがどっこい、何とMicrosoftが提供するOutlook.comからも
同じように独自ドメインのメールを使うことができるようになるサービスが出たと聞いて、
早速試してみました!

基本的な流れは鉄王さんのブログ
【Google Apps(無償版)難民救済企画】Outlook.comで独自ドメインメールを無料運用してみたよ(Gmailへの転送もOK)」
をご参照ください。

続きを読む