第3回WordBench 山口

Transcript

1. 2016年10月15日 小島 健司 サーバとかセキュリティとかSSLの話 とかいろいろお話します 第3回 WordBench山口

2. 自 己 紹 介 小 島 健 司 Twitter https://twitter.com/nu_nrgist

   Facebook https://www.facebook.com/kenji.kojima.96 ファーストサーバ株式会社でかれこれ十数年働いています。 CMS コミュニティ：WordCamp Kansai 実行委員 ※いつもスポンサー担当 WordBench 大阪 モデレーターのひとり

3. 社名 ファーストサーバ株式会社 FirstServer, Inc. 所在地 大阪市中央区安土町1丁目8番15号 野村不動産大阪ビル3F 事業開始 1996年7月 資本金

   3億6,357万円 主要株主 ヤフー株式会社 事業内容 レンタルサーバーサービス ドメイン名登録サービス クラウドサービス 会 社 紹 介

4. https://www.templateking.jp/ WordPressの無料テーマ 画像素材も始めました 公式テーマに申請中だけどなかなか進まない・・・ テンプレートキング

5. カスタムカラー機能付の新バージョン 5

6. 無料のSSL証明書も2種類取扱っています

7. ウチにもPepperくんがいます。 WordBench大阪その他イベント・セミナーの会場として よく使ってもらっています。

8. 本日のお題 8 1.レンサバ屋からお話しする 「WordPressを運用する上で知っておきたい サーバの違いとセキュリティ注意点」 (ココだけの話含む) 2.WordPressサイトの常時SSL化を検討しよう

9. 1-1 WordPressを運用する サーバの違い 9

10. 今年のWordCamp Kansai、Tokyoでも多くのサーバ会社が協賛 10

11. 11  (マネージド)レンタルサーバー 共有 専用(マネージド・セルフ)  VPS  クラウド 

    オンプレミス(自社サーバー)  WordPress専用サービス WordPressを運用するときのサーバー選択肢

12. 12  マネージド  ノンマネージ(セルフ) サーバ会社同士では この二つでだいたい区別。 一般的にはたぶん浸透していない

13. 13  ルート権限あり  ルート権限なし

14. 14 よく不動産に例えられます

15. 15  賃貸マンション・アパート  一戸建て賃貸  持 家  賃貸マンション・アパート

     一戸建て賃貸  持 家

16. 山口と言ったらやっぱりフグ!? なので不動産とはちょっと違う例えで。

17. 「さかな料理が食べたい、食べさせたい」って ときの行動に例えてみる

18. 魚屋で1匹丸ごと買ってさばくぜ！

19. さばけないので切身を買って料理する

20. 出来たのを買ってくる

21. • さばける人 →ルート権限付の 専用サーバやクラウドで1から • さばけないが切身で料理は出来る →VPSやクラウドAMIなどを使って構築 • 料理できないが盛り付けはできる •

    面倒なので今日は料理したくない →マネージド型レンタルサーバ

22. • さばけて料理も出来る人 →ルート権限付の 専用サーバやクラウドで1から • さばけないが切身で料理は出来る →VPSやクラウドAMIなどを使って構築 • 料理できないが盛り付けはできる •

    面倒なので今日は料理したくない →マネージド型レンタルサーバ 釣る 魚屋に行く 鮮魚コーナーに 行く 惣菜コーナーに 行く

23. • 魚屋 →さくらインターネットさん(切身や惣菜もあるよ) AWS、IDCFとかを１から構築 • 鮮魚コーナー →AWS+amimotoとかIDCF+kusanagiとか さくらのVPSとか • 惣菜コーナー

    →エックスサーバさん、GMOペパボさん、 ファーストサーバなどなど

24. WordPressを運用するサーバを構成するもの OS ハードウェア Apache、MySQL、phpなど WordPressなどの コンテンツエリア

25. 料理する範囲 OS ハードウェア Apache、MySQL、php WordPressなどの コンテンツエリア OS ハードウェア Apache、MySQL、php WordPressなどの

    コンテンツエリア OS ハードウェア Apache、MySQL、php WordPressなどの コンテンツエリア サービスによってさまざま 専用サーバとか クラウド VPS マネージドサービス

26. • 料理できない人 + 丸ごと1匹or切身 • 構築・管理できない人 + ルート権限有 自分用や練習は良いけど お客さんに出しちゃダメ！

27. 料理できないけど家で出来立てが食べたい！ プロに作ってほしい！って時 Cloudpackさんやテコラスさんなど 料理人(MSP)に頼もう！

28. 惣菜コーナーにもいろいろ スーパー から 高級デパ地下まで

29. マネージドサービスで提供される領域 29 WEB Mail DB

30. 30 提供会社によって提供方式もいろいろ WEB DB Mail WEB DB Mail DB Mail

    WEB Mail WEB DB Mail WEB DB Mail Mail DB WEB DB WEB WEB Mail DB

31. 内風呂か大浴場か 例えるなら 一長一短、案件や利用、好みに応じて

32. 32 https://www.spamhaus.org/sbl/listings/firstserver.co.jp

33. WordPress簡単インストールの違い 1. プログラムをダウンロード 2. 解凍 3. アップロード 4. DB作る 5.

    WordPressのウィザードに従って 設定する 6. /wp-admin/にアクセスする 33 簡単インストール機能で 5. までやってくれるのもあれば 3.くらいまでのサービスも(←簡単ちゃうやん)

34. 自分の技量とか状況とか 案件の内容によって 適切なサーバ選びを！ 34

35. 1-2 セキュリティについて

36. サーバへの攻撃は ほとんどが いたずらや技術力誇示じゃなくて 36 お金儲け＝ビジネス目的です！

37. 気をつける範囲 OS ハードウェア Apache、MySQL、 php WordPressなどの コンテンツエリア OS ハードウェア Apache、MySQL、

    php WordPressなどの コンテンツエリア OS ハードウェア Apache、MySQL、 php WordPressなどの コンテンツエリア サービスによってさまざま

38. 被害にあわない為には ・古いバージョンは使わない！ ・テーマやプラグインは公式もしくは信頼できるところから！ 例：信頼できる→公式テーマやtemplateking.jp 危ない→ブログ記事・まとめサイトから海外サイトへ DownLoad →悪いコードが仕込まれてた ・カスタマイズは情報は信頼できる人からの情報を！ WordPress Codex

    、フォーラムなど ・WAFの活用

39. 多くのレンタルサーバで利用できる WAF (WEBアプリケーションファイアウォール)

40. WAFとは ウェブアプリケーションの脆弱性を悪用した攻撃から ウェブサイトを保護するソリューション WWW 不正アクセス 正当なアクセス WAF

41. 不正なアクセスをブロック HTTPステータス403 Forbiddenを応答

42. CMSの利用でブログ等に よく掲載されている残念なこと 「◦◦が出来ないときはWAFをOFFに」 ↓ カスタムシグネチャで回避。

43. SiteGuard WP Plugin https://ja.wordpress.org/plugins/siteguard/ ファーストサーバのZenlogicではWordPress簡単インストール時に 同梱してインストールしています。 多くのレンタルサーバーが採用するWAF セキュリティプラグインも公開されています

44. SiteGuard WP Pluginの機能 インストール後、すぐに利用できる日本語のセキュリティプラグイン

45. 改ざんされてしまったら

46. 意外に多い2度目の改ざん！！ 改ざんされた領域だけでなく全チェックを！ どこに何を仕掛けられているかわからない 例） ・サイトの表示だけ直して 他のディレクトリにもスクリプトが 置かれていた ・コンテンツ削除したが 前のコンテンツを悪いスクリプトごと 置いてしまった。

47. 推奨している対処  サーバ上の全コンテンツ削除  全FTPアカウントのパスワード変更  管理画面のパスワード変更  PC環境のセキュリティチェック 

    大丈夫なコンテンツのアップロード

48. ホームページの修復だけじゃない • 何をされましたか？ • どんなデータが存在していましたか？ →把握していますか？ 最悪の事態になっていないかをチェック

49. 49 2.WordPressサイトの常時SSL化を検討しよう

50. なんで常時SSLにした方がいいの？ 50

51. 51 wifiあります! SSID：◦ ◦ ◦ ◦ ◦ ◦ ◦ key

    ：※ ※ ※ ※ ※ ※ ※ ※ ※

52. 「保護」はアクセスポイントまで！ 52 サーバー wifiアクセスポイント internet http://ではココだけ http://ではココは生 https://では全部暗号化通信

53. ニセのアクセスポイントかも 53 サーバー 本物の アクセスポイント 盗聴・改ざん・・・ ニセの アクセスポイント

54.  問合せフォーム  ネットショップの決済  管理画面 etc. TOPからhttpsにする必要あるの？ こういうページは わかるけど

55. 誰の為にSSL化？ 55 サイト運営者 サイト閲覧者 こちら側の目線が 強かった こちらに注目！

56. スマホを後ろから覗き見・・・

57. 57 今 となりの人 あの番組見てるなー 壁の向こうから聞かれる・・・

58. 58 例）カフェで提供されているwi-fiのニセwi-fi  覗き見 いつもhttp://example.com/ のサイト見て る・・・ ↓ ↓ ↓

    ↓ ↓ ↓ ↓  傾向からフィッシングサイトへの誘導  攻撃の準備 etc. 危険がいっぱい！

59. 常時SSLに！ 59 サーバー internet https://で暗号化通信！

60. ブラウザも厳しく 60 firefox chrome

61. 証明書の違い 61

62. 3種類あるの知ってる?

63. 3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation

    DV OV EV

64. 証明書の違い ドメイン認証 DV 企業認証 OV 拡張認証 EV ドメイン名の使用権限を認証 ◦ ◦

    ◦ 企業の実在性を認証 × ◦ ◎ フィッシング詐欺対策 × ◦ ◎ アドレスバーに組織名表示 × × ◦ 信頼性 ★ ★★ ★★★ 費用 低 中 高

65. 認証プロセス【ドメイン認証】 証明書の発行 ドメイン名の 使用権限確認 ドメイン認証 ドメイン名の使用権限を確認するのみ。 ・無料もある ・低価格 ・発行が早い ・個人でも取得OK

    誰でも手軽に取得できる→信頼度は星ひとつ 「Search Console」みたいな感じで認証

66. 認証プロセス【企業認証】 証明書の発行 ドメイン名の 所有者・使用権限確認 登記や 帝国データバンク等の データベースを確認 申請責任者への 電話確認 企業認証

    ドメイン名の所有者名・使用権限と実在確認 ・実際に存在するかを電話確認 ・住所の証明等に公共料金の請求書等の 提出が必要な場合あり ・個人はNG 証明書ベンダーにより個人事業主はOKなものも

67. 認証プロセス【拡張認証】 証明書の発行 登記や 帝国データバンク等の データベースを確認 申請責任者への 電話確認 申請責任者 権限確認者の確認 EV証明書

    最も厳格な審査 最高度の信頼性を実現 金融機関などが多く利用 アドレスバーも違う！ ドメイン名の 所有者・使用権限確認

68. アドレスバーの違い 企業認証(OV)、ドメイン認証(DV)では組織名称は表示されない 拡張認証(EV)では組織名称が表示されます。

69. スマホブラウザ 69 iPhoneでEV Android標準ブラウザだと EVでも社名は出ない

70. 詳細表示のちがい OVとEVでは 組織名称が表示。 DVでは 組織名称が 表示されない。

71. ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation DV

    OV EV サイトの性質や予算により 適切なものを選択しましょう

72. 無料の証明書!?「 Let’s Encrypt 」とは https://letsencrypt.org/ Cisco Systemsやモジラ財団などの大手企業・団体がス ポンサーとして支援する非営利団体の ISRG（Internet Security

    Research Group）が運営。 証明書を無料で発行し、HTTPS通信を普及させることを 目的。 レンタルサーバでは ファーストサーバとエックスサーバさんで簡単に 使えます！ WordPress.comでも採用されています。

73. SNI 73 ▪SNI非対応のサービスだと サーバにドメイン名の設定は無制限に設定できても https化できるのは1つのみ。 https://example.com/ http://example.net/ http://example.org/ サーバー ▪SNI対応のサービスだと

    1つのIPアドレスに対して複数のSSL証明書が設定できます。 https://example.com/ https://example.net/ https://example.org/ サーバー

74. WordPressを常時SSL化

75. まずはhttpsでアクセスできるように 75 証明書の申込などをしてから 【https】でアクセスしたときのドキュメントルートを設定 https://example.com/でCMSにアクセスできるように レンタルサーバによって違う (Zenlogicは結構簡単だと思うよ)

76. ダッシュボードでhttp→httpsに変更 76 ※サーバの仕様や設置ディレクトリにより注意してください

77. 便利なプラグイン 77 https://ja.wordpress.org/plugins/really-simple-ssl/ リダイレクト設定を 入れたり 画像のパスとかを 変更してくれる

78. 翻訳しました 78

79. 11/12 WordBench山口でもいかがですか？ 79

80. 80 ご清聴ありがとうございました。 続きは懇親会などで。