Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第3回WordBench 山口
Search
Kenji Kojima
October 17, 2016
Technology
1
770
第3回WordBench 山口
10/15のWordBench山口での資料です。
Kenji Kojima
October 17, 2016
Tweet
Share
More Decks by Kenji Kojima
See All by Kenji Kojima
WordBench山口0407
kenjikojima
1
260
WordBench_Toyama0126
kenjikojima
0
79
WordBench_Gifu1202
kenjikojima
1
1.1k
WordBench_Niigata1007
kenjikojima
0
79
WordBench_Niigata10072
kenjikojima
0
91
MT Tokyo 20170930
kenjikojima
0
340
CS Beer Bash Osaka Vol.2
kenjikojima
0
1.5k
2017/2/12WordBench奈良
kenjikojima
3
570
20170211WordBench大阪
kenjikojima
0
310
Other Decks in Technology
See All in Technology
プロダクト活用度で見えた真実 ホリゾンタルSaaSでの顧客解像度の高め方
tadaken3
0
190
AIチャットボット開発への生成AI活用
ryomrt
0
170
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
330
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
180
OS 標準のデザインシステムを超えて - より柔軟な Flutter テーマ管理 | FlutterKaigi 2024
ronnnnn
0
240
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.7k
Lambdaと地方とコミュニティ
miu_crescent
2
370
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
Flutterによる 効率的なAndroid・iOS・Webアプリケーション開発の事例
recruitengineers
PRO
0
120
Application Development WG Intro at AppDeveloperCon
salaboy
0
190
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
210
Featured
See All Featured
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Fireside Chat
paigeccino
34
3k
10 Git Anti Patterns You Should be Aware of
lemiorhan
655
59k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
370
Become a Pro
speakerdeck
PRO
25
5k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
Designing for humans not robots
tammielis
250
25k
GraphQLとの向き合い方2022年版
quramy
43
13k
Transcript
2016年10月15日 小島 健司 サーバとかセキュリティとかSSLの話 とかいろいろお話します 第3回 WordBench山口
自 己 紹 介 小 島 健 司 Twitter https://twitter.com/nu_nrgist
Facebook https://www.facebook.com/kenji.kojima.96 ファーストサーバ株式会社でかれこれ十数年働いています。 CMS コミュニティ:WordCamp Kansai 実行委員 ※いつもスポンサー担当 WordBench 大阪 モデレーターのひとり
社名 ファーストサーバ株式会社 FirstServer, Inc. 所在地 大阪市中央区安土町1丁目8番15号 野村不動産大阪ビル3F 事業開始 1996年7月 資本金
3億6,357万円 主要株主 ヤフー株式会社 事業内容 レンタルサーバーサービス ドメイン名登録サービス クラウドサービス 会 社 紹 介
https://www.templateking.jp/ WordPressの無料テーマ 画像素材も始めました 公式テーマに申請中だけどなかなか進まない・・・ テンプレートキング
カスタムカラー機能付の新バージョン 5
無料のSSL証明書も2種類取扱っています
ウチにもPepperくんがいます。 WordBench大阪その他イベント・セミナーの会場として よく使ってもらっています。
本日のお題 8 1.レンサバ屋からお話しする 「WordPressを運用する上で知っておきたい サーバの違いとセキュリティ注意点」 (ココだけの話含む) 2.WordPressサイトの常時SSL化を検討しよう
1-1 WordPressを運用する サーバの違い 9
今年のWordCamp Kansai、Tokyoでも多くのサーバ会社が協賛 10
11 (マネージド)レンタルサーバー 共有 専用(マネージド・セルフ) VPS クラウド
オンプレミス(自社サーバー) WordPress専用サービス WordPressを運用するときのサーバー選択肢
12 マネージド ノンマネージ(セルフ) サーバ会社同士では この二つでだいたい区別。 一般的にはたぶん浸透していない
13 ルート権限あり ルート権限なし
14 よく不動産に例えられます
15 賃貸マンション・アパート 一戸建て賃貸 持 家 賃貸マンション・アパート
一戸建て賃貸 持 家
山口と言ったらやっぱりフグ!? なので不動産とはちょっと違う例えで。
「さかな料理が食べたい、食べさせたい」って ときの行動に例えてみる
魚屋で1匹丸ごと買ってさばくぜ!
さばけないので切身を買って料理する
出来たのを買ってくる
• さばける人 →ルート権限付の 専用サーバやクラウドで1から • さばけないが切身で料理は出来る →VPSやクラウドAMIなどを使って構築 • 料理できないが盛り付けはできる •
面倒なので今日は料理したくない →マネージド型レンタルサーバ
• さばけて料理も出来る人 →ルート権限付の 専用サーバやクラウドで1から • さばけないが切身で料理は出来る →VPSやクラウドAMIなどを使って構築 • 料理できないが盛り付けはできる •
面倒なので今日は料理したくない →マネージド型レンタルサーバ 釣る 魚屋に行く 鮮魚コーナーに 行く 惣菜コーナーに 行く
• 魚屋 →さくらインターネットさん(切身や惣菜もあるよ) AWS、IDCFとかを1から構築 • 鮮魚コーナー →AWS+amimotoとかIDCF+kusanagiとか さくらのVPSとか • 惣菜コーナー
→エックスサーバさん、GMOペパボさん、 ファーストサーバなどなど
WordPressを運用するサーバを構成するもの OS ハードウェア Apache、MySQL、phpなど WordPressなどの コンテンツエリア
料理する範囲 OS ハードウェア Apache、MySQL、php WordPressなどの コンテンツエリア OS ハードウェア Apache、MySQL、php WordPressなどの
コンテンツエリア OS ハードウェア Apache、MySQL、php WordPressなどの コンテンツエリア サービスによってさまざま 専用サーバとか クラウド VPS マネージドサービス
• 料理できない人 + 丸ごと1匹or切身 • 構築・管理できない人 + ルート権限有 自分用や練習は良いけど お客さんに出しちゃダメ!
料理できないけど家で出来立てが食べたい! プロに作ってほしい!って時 Cloudpackさんやテコラスさんなど 料理人(MSP)に頼もう!
惣菜コーナーにもいろいろ スーパー から 高級デパ地下まで
マネージドサービスで提供される領域 29 WEB Mail DB
30 提供会社によって提供方式もいろいろ WEB DB Mail WEB DB Mail DB Mail
WEB Mail WEB DB Mail WEB DB Mail Mail DB WEB DB WEB WEB Mail DB
内風呂か大浴場か 例えるなら 一長一短、案件や利用、好みに応じて
32 https://www.spamhaus.org/sbl/listings/firstserver.co.jp
WordPress簡単インストールの違い 1. プログラムをダウンロード 2. 解凍 3. アップロード 4. DB作る 5.
WordPressのウィザードに従って 設定する 6. /wp-admin/にアクセスする 33 簡単インストール機能で 5. までやってくれるのもあれば 3.くらいまでのサービスも(←簡単ちゃうやん)
自分の技量とか状況とか 案件の内容によって 適切なサーバ選びを! 34
1-2 セキュリティについて
サーバへの攻撃は ほとんどが いたずらや技術力誇示じゃなくて 36 お金儲け=ビジネス目的です!
気をつける範囲 OS ハードウェア Apache、MySQL、 php WordPressなどの コンテンツエリア OS ハードウェア Apache、MySQL、
php WordPressなどの コンテンツエリア OS ハードウェア Apache、MySQL、 php WordPressなどの コンテンツエリア サービスによってさまざま
被害にあわない為には ・古いバージョンは使わない! ・テーマやプラグインは公式もしくは信頼できるところから! 例:信頼できる→公式テーマやtemplateking.jp 危ない→ブログ記事・まとめサイトから海外サイトへ DownLoad →悪いコードが仕込まれてた ・カスタマイズは情報は信頼できる人からの情報を! WordPress Codex
、フォーラムなど ・WAFの活用
多くのレンタルサーバで利用できる WAF (WEBアプリケーションファイアウォール)
WAFとは ウェブアプリケーションの脆弱性を悪用した攻撃から ウェブサイトを保護するソリューション WWW 不正アクセス 正当なアクセス WAF
不正なアクセスをブロック HTTPステータス403 Forbiddenを応答
CMSの利用でブログ等に よく掲載されている残念なこと 「◦◦が出来ないときはWAFをOFFに」 ↓ カスタムシグネチャで回避。
SiteGuard WP Plugin https://ja.wordpress.org/plugins/siteguard/ ファーストサーバのZenlogicではWordPress簡単インストール時に 同梱してインストールしています。 多くのレンタルサーバーが採用するWAF セキュリティプラグインも公開されています
SiteGuard WP Pluginの機能 インストール後、すぐに利用できる日本語のセキュリティプラグイン
改ざんされてしまったら
意外に多い2度目の改ざん!! 改ざんされた領域だけでなく全チェックを! どこに何を仕掛けられているかわからない 例) ・サイトの表示だけ直して 他のディレクトリにもスクリプトが 置かれていた ・コンテンツ削除したが 前のコンテンツを悪いスクリプトごと 置いてしまった。
推奨している対処 サーバ上の全コンテンツ削除 全FTPアカウントのパスワード変更 管理画面のパスワード変更 PC環境のセキュリティチェック
大丈夫なコンテンツのアップロード
ホームページの修復だけじゃない • 何をされましたか? • どんなデータが存在していましたか? →把握していますか? 最悪の事態になっていないかをチェック
49 2.WordPressサイトの常時SSL化を検討しよう
なんで常時SSLにした方がいいの? 50
51 wifiあります! SSID:◦ ◦ ◦ ◦ ◦ ◦ ◦ key
:※ ※ ※ ※ ※ ※ ※ ※ ※
「保護」はアクセスポイントまで! 52 サーバー wifiアクセスポイント internet http://ではココだけ http://ではココは生 https://では全部暗号化通信
ニセのアクセスポイントかも 53 サーバー 本物の アクセスポイント 盗聴・改ざん・・・ ニセの アクセスポイント
問合せフォーム ネットショップの決済 管理画面 etc. TOPからhttpsにする必要あるの? こういうページは わかるけど
誰の為にSSL化? 55 サイト運営者 サイト閲覧者 こちら側の目線が 強かった こちらに注目!
スマホを後ろから覗き見・・・
57 今 となりの人 あの番組見てるなー 壁の向こうから聞かれる・・・
58 例)カフェで提供されているwi-fiのニセwi-fi 覗き見 いつもhttp://example.com/ のサイト見て る・・・ ↓ ↓ ↓
↓ ↓ ↓ ↓ 傾向からフィッシングサイトへの誘導 攻撃の準備 etc. 危険がいっぱい!
常時SSLに! 59 サーバー internet https://で暗号化通信!
ブラウザも厳しく 60 firefox chrome
証明書の違い 61
3種類あるの知ってる?
3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation
DV OV EV
証明書の違い ドメイン認証 DV 企業認証 OV 拡張認証 EV ドメイン名の使用権限を認証 ◦ ◦
◦ 企業の実在性を認証 × ◦ ◎ フィッシング詐欺対策 × ◦ ◎ アドレスバーに組織名表示 × × ◦ 信頼性 ★ ★★ ★★★ 費用 低 中 高
認証プロセス【ドメイン認証】 証明書の発行 ドメイン名の 使用権限確認 ドメイン認証 ドメイン名の使用権限を確認するのみ。 ・無料もある ・低価格 ・発行が早い ・個人でも取得OK
誰でも手軽に取得できる→信頼度は星ひとつ 「Search Console」みたいな感じで認証
認証プロセス【企業認証】 証明書の発行 ドメイン名の 所有者・使用権限確認 登記や 帝国データバンク等の データベースを確認 申請責任者への 電話確認 企業認証
ドメイン名の所有者名・使用権限と実在確認 ・実際に存在するかを電話確認 ・住所の証明等に公共料金の請求書等の 提出が必要な場合あり ・個人はNG 証明書ベンダーにより個人事業主はOKなものも
認証プロセス【拡張認証】 証明書の発行 登記や 帝国データバンク等の データベースを確認 申請責任者への 電話確認 申請責任者 権限確認者の確認 EV証明書
最も厳格な審査 最高度の信頼性を実現 金融機関などが多く利用 アドレスバーも違う! ドメイン名の 所有者・使用権限確認
アドレスバーの違い 企業認証(OV)、ドメイン認証(DV)では組織名称は表示されない 拡張認証(EV)では組織名称が表示されます。
スマホブラウザ 69 iPhoneでEV Android標準ブラウザだと EVでも社名は出ない
詳細表示のちがい OVとEVでは 組織名称が表示。 DVでは 組織名称が 表示されない。
ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation DV
OV EV サイトの性質や予算により 適切なものを選択しましょう
無料の証明書!?「 Let’s Encrypt 」とは https://letsencrypt.org/ Cisco Systemsやモジラ財団などの大手企業・団体がス ポンサーとして支援する非営利団体の ISRG(Internet Security
Research Group)が運営。 証明書を無料で発行し、HTTPS通信を普及させることを 目的。 レンタルサーバでは ファーストサーバとエックスサーバさんで簡単に 使えます! WordPress.comでも採用されています。
SNI 73 ▪SNI非対応のサービスだと サーバにドメイン名の設定は無制限に設定できても https化できるのは1つのみ。 https://example.com/ http://example.net/ http://example.org/ サーバー ▪SNI対応のサービスだと
1つのIPアドレスに対して複数のSSL証明書が設定できます。 https://example.com/ https://example.net/ https://example.org/ サーバー
WordPressを常時SSL化
まずはhttpsでアクセスできるように 75 証明書の申込などをしてから 【https】でアクセスしたときのドキュメントルートを設定 https://example.com/でCMSにアクセスできるように レンタルサーバによって違う (Zenlogicは結構簡単だと思うよ)
ダッシュボードでhttp→httpsに変更 76 ※サーバの仕様や設置ディレクトリにより注意してください
便利なプラグイン 77 https://ja.wordpress.org/plugins/really-simple-ssl/ リダイレクト設定を 入れたり 画像のパスとかを 変更してくれる
翻訳しました 78
11/12 WordBench山口でもいかがですか? 79
80 ご清聴ありがとうございました。 続きは懇親会などで。