Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第3回WordBench 山口
Search
Kenji Kojima
October 17, 2016
Technology
1
780
第3回WordBench 山口
10/15のWordBench山口での資料です。
Kenji Kojima
October 17, 2016
Tweet
Share
More Decks by Kenji Kojima
See All by Kenji Kojima
WordBench山口0407
kenjikojima
1
270
WordBench_Toyama0126
kenjikojima
0
80
WordBench_Gifu1202
kenjikojima
1
1.1k
WordBench_Niigata1007
kenjikojima
0
80
WordBench_Niigata10072
kenjikojima
0
91
MT Tokyo 20170930
kenjikojima
0
350
CS Beer Bash Osaka Vol.2
kenjikojima
0
1.5k
2017/2/12WordBench奈良
kenjikojima
3
570
20170211WordBench大阪
kenjikojima
0
330
Other Decks in Technology
See All in Technology
KubeCon NA 2024 Recap / Running WebAssembly (Wasm) Workloads Side-by-Side with Container Workloads
z63d
1
250
生成AIのガバナンスの全体像と現実解
fnifni
1
190
Microsoft Azure全冠になってみた ~アレを使い倒した者が試験を制す!?~/Obtained all Microsoft Azure certifications Those who use "that" to the full will win the exam! ?
yuj1osm
2
110
[Ruby] Develop a Morse Code Learning Gem & Beep from Strings
oguressive
1
170
Amazon VPC Lattice 最新アップデート紹介 - PrivateLink も似たようなアップデートあったけど違いとは
bigmuramura
0
200
Snykで始めるセキュリティ担当者とSREと開発者が楽になる脆弱性対応 / Getting started with Snyk Vulnerability Response
yamaguchitk333
2
190
APIとはなにか
mikanichinose
0
100
サイボウズフロントエンドエキスパートチームについて / FrontendExpert Team
cybozuinsideout
PRO
5
38k
組織に自動テストを書く文化を根付かせる戦略(2024冬版) / Building Automated Test Culture 2024 Winter Edition
twada
PRO
17
4.8k
生成AIをより賢く エンジニアのための RAG入門 - Oracle AI Jam Session #20
kutsushitaneko
4
260
kargoの魅力について伝える
magisystem0408
0
210
DevOps視点でAWS re:invent2024の新サービス・アプデを振り返ってみた
oshanqq
0
180
Featured
See All Featured
Music & Morning Musume
bryan
46
6.2k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Docker and Python
trallard
42
3.1k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
170
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.4k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
KATA
mclloyd
29
14k
Typedesign – Prime Four
hannesfritz
40
2.4k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
45
2.2k
Testing 201, or: Great Expectations
jmmastey
40
7.1k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Transcript
2016年10月15日 小島 健司 サーバとかセキュリティとかSSLの話 とかいろいろお話します 第3回 WordBench山口
自 己 紹 介 小 島 健 司 Twitter https://twitter.com/nu_nrgist
Facebook https://www.facebook.com/kenji.kojima.96 ファーストサーバ株式会社でかれこれ十数年働いています。 CMS コミュニティ:WordCamp Kansai 実行委員 ※いつもスポンサー担当 WordBench 大阪 モデレーターのひとり
社名 ファーストサーバ株式会社 FirstServer, Inc. 所在地 大阪市中央区安土町1丁目8番15号 野村不動産大阪ビル3F 事業開始 1996年7月 資本金
3億6,357万円 主要株主 ヤフー株式会社 事業内容 レンタルサーバーサービス ドメイン名登録サービス クラウドサービス 会 社 紹 介
https://www.templateking.jp/ WordPressの無料テーマ 画像素材も始めました 公式テーマに申請中だけどなかなか進まない・・・ テンプレートキング
カスタムカラー機能付の新バージョン 5
無料のSSL証明書も2種類取扱っています
ウチにもPepperくんがいます。 WordBench大阪その他イベント・セミナーの会場として よく使ってもらっています。
本日のお題 8 1.レンサバ屋からお話しする 「WordPressを運用する上で知っておきたい サーバの違いとセキュリティ注意点」 (ココだけの話含む) 2.WordPressサイトの常時SSL化を検討しよう
1-1 WordPressを運用する サーバの違い 9
今年のWordCamp Kansai、Tokyoでも多くのサーバ会社が協賛 10
11 (マネージド)レンタルサーバー 共有 専用(マネージド・セルフ) VPS クラウド
オンプレミス(自社サーバー) WordPress専用サービス WordPressを運用するときのサーバー選択肢
12 マネージド ノンマネージ(セルフ) サーバ会社同士では この二つでだいたい区別。 一般的にはたぶん浸透していない
13 ルート権限あり ルート権限なし
14 よく不動産に例えられます
15 賃貸マンション・アパート 一戸建て賃貸 持 家 賃貸マンション・アパート
一戸建て賃貸 持 家
山口と言ったらやっぱりフグ!? なので不動産とはちょっと違う例えで。
「さかな料理が食べたい、食べさせたい」って ときの行動に例えてみる
魚屋で1匹丸ごと買ってさばくぜ!
さばけないので切身を買って料理する
出来たのを買ってくる
• さばける人 →ルート権限付の 専用サーバやクラウドで1から • さばけないが切身で料理は出来る →VPSやクラウドAMIなどを使って構築 • 料理できないが盛り付けはできる •
面倒なので今日は料理したくない →マネージド型レンタルサーバ
• さばけて料理も出来る人 →ルート権限付の 専用サーバやクラウドで1から • さばけないが切身で料理は出来る →VPSやクラウドAMIなどを使って構築 • 料理できないが盛り付けはできる •
面倒なので今日は料理したくない →マネージド型レンタルサーバ 釣る 魚屋に行く 鮮魚コーナーに 行く 惣菜コーナーに 行く
• 魚屋 →さくらインターネットさん(切身や惣菜もあるよ) AWS、IDCFとかを1から構築 • 鮮魚コーナー →AWS+amimotoとかIDCF+kusanagiとか さくらのVPSとか • 惣菜コーナー
→エックスサーバさん、GMOペパボさん、 ファーストサーバなどなど
WordPressを運用するサーバを構成するもの OS ハードウェア Apache、MySQL、phpなど WordPressなどの コンテンツエリア
料理する範囲 OS ハードウェア Apache、MySQL、php WordPressなどの コンテンツエリア OS ハードウェア Apache、MySQL、php WordPressなどの
コンテンツエリア OS ハードウェア Apache、MySQL、php WordPressなどの コンテンツエリア サービスによってさまざま 専用サーバとか クラウド VPS マネージドサービス
• 料理できない人 + 丸ごと1匹or切身 • 構築・管理できない人 + ルート権限有 自分用や練習は良いけど お客さんに出しちゃダメ!
料理できないけど家で出来立てが食べたい! プロに作ってほしい!って時 Cloudpackさんやテコラスさんなど 料理人(MSP)に頼もう!
惣菜コーナーにもいろいろ スーパー から 高級デパ地下まで
マネージドサービスで提供される領域 29 WEB Mail DB
30 提供会社によって提供方式もいろいろ WEB DB Mail WEB DB Mail DB Mail
WEB Mail WEB DB Mail WEB DB Mail Mail DB WEB DB WEB WEB Mail DB
内風呂か大浴場か 例えるなら 一長一短、案件や利用、好みに応じて
32 https://www.spamhaus.org/sbl/listings/firstserver.co.jp
WordPress簡単インストールの違い 1. プログラムをダウンロード 2. 解凍 3. アップロード 4. DB作る 5.
WordPressのウィザードに従って 設定する 6. /wp-admin/にアクセスする 33 簡単インストール機能で 5. までやってくれるのもあれば 3.くらいまでのサービスも(←簡単ちゃうやん)
自分の技量とか状況とか 案件の内容によって 適切なサーバ選びを! 34
1-2 セキュリティについて
サーバへの攻撃は ほとんどが いたずらや技術力誇示じゃなくて 36 お金儲け=ビジネス目的です!
気をつける範囲 OS ハードウェア Apache、MySQL、 php WordPressなどの コンテンツエリア OS ハードウェア Apache、MySQL、
php WordPressなどの コンテンツエリア OS ハードウェア Apache、MySQL、 php WordPressなどの コンテンツエリア サービスによってさまざま
被害にあわない為には ・古いバージョンは使わない! ・テーマやプラグインは公式もしくは信頼できるところから! 例:信頼できる→公式テーマやtemplateking.jp 危ない→ブログ記事・まとめサイトから海外サイトへ DownLoad →悪いコードが仕込まれてた ・カスタマイズは情報は信頼できる人からの情報を! WordPress Codex
、フォーラムなど ・WAFの活用
多くのレンタルサーバで利用できる WAF (WEBアプリケーションファイアウォール)
WAFとは ウェブアプリケーションの脆弱性を悪用した攻撃から ウェブサイトを保護するソリューション WWW 不正アクセス 正当なアクセス WAF
不正なアクセスをブロック HTTPステータス403 Forbiddenを応答
CMSの利用でブログ等に よく掲載されている残念なこと 「◦◦が出来ないときはWAFをOFFに」 ↓ カスタムシグネチャで回避。
SiteGuard WP Plugin https://ja.wordpress.org/plugins/siteguard/ ファーストサーバのZenlogicではWordPress簡単インストール時に 同梱してインストールしています。 多くのレンタルサーバーが採用するWAF セキュリティプラグインも公開されています
SiteGuard WP Pluginの機能 インストール後、すぐに利用できる日本語のセキュリティプラグイン
改ざんされてしまったら
意外に多い2度目の改ざん!! 改ざんされた領域だけでなく全チェックを! どこに何を仕掛けられているかわからない 例) ・サイトの表示だけ直して 他のディレクトリにもスクリプトが 置かれていた ・コンテンツ削除したが 前のコンテンツを悪いスクリプトごと 置いてしまった。
推奨している対処 サーバ上の全コンテンツ削除 全FTPアカウントのパスワード変更 管理画面のパスワード変更 PC環境のセキュリティチェック
大丈夫なコンテンツのアップロード
ホームページの修復だけじゃない • 何をされましたか? • どんなデータが存在していましたか? →把握していますか? 最悪の事態になっていないかをチェック
49 2.WordPressサイトの常時SSL化を検討しよう
なんで常時SSLにした方がいいの? 50
51 wifiあります! SSID:◦ ◦ ◦ ◦ ◦ ◦ ◦ key
:※ ※ ※ ※ ※ ※ ※ ※ ※
「保護」はアクセスポイントまで! 52 サーバー wifiアクセスポイント internet http://ではココだけ http://ではココは生 https://では全部暗号化通信
ニセのアクセスポイントかも 53 サーバー 本物の アクセスポイント 盗聴・改ざん・・・ ニセの アクセスポイント
問合せフォーム ネットショップの決済 管理画面 etc. TOPからhttpsにする必要あるの? こういうページは わかるけど
誰の為にSSL化? 55 サイト運営者 サイト閲覧者 こちら側の目線が 強かった こちらに注目!
スマホを後ろから覗き見・・・
57 今 となりの人 あの番組見てるなー 壁の向こうから聞かれる・・・
58 例)カフェで提供されているwi-fiのニセwi-fi 覗き見 いつもhttp://example.com/ のサイト見て る・・・ ↓ ↓ ↓
↓ ↓ ↓ ↓ 傾向からフィッシングサイトへの誘導 攻撃の準備 etc. 危険がいっぱい!
常時SSLに! 59 サーバー internet https://で暗号化通信!
ブラウザも厳しく 60 firefox chrome
証明書の違い 61
3種類あるの知ってる?
3種類のサーバ証明書 ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation
DV OV EV
証明書の違い ドメイン認証 DV 企業認証 OV 拡張認証 EV ドメイン名の使用権限を認証 ◦ ◦
◦ 企業の実在性を認証 × ◦ ◎ フィッシング詐欺対策 × ◦ ◎ アドレスバーに組織名表示 × × ◦ 信頼性 ★ ★★ ★★★ 費用 低 中 高
認証プロセス【ドメイン認証】 証明書の発行 ドメイン名の 使用権限確認 ドメイン認証 ドメイン名の使用権限を確認するのみ。 ・無料もある ・低価格 ・発行が早い ・個人でも取得OK
誰でも手軽に取得できる→信頼度は星ひとつ 「Search Console」みたいな感じで認証
認証プロセス【企業認証】 証明書の発行 ドメイン名の 所有者・使用権限確認 登記や 帝国データバンク等の データベースを確認 申請責任者への 電話確認 企業認証
ドメイン名の所有者名・使用権限と実在確認 ・実際に存在するかを電話確認 ・住所の証明等に公共料金の請求書等の 提出が必要な場合あり ・個人はNG 証明書ベンダーにより個人事業主はOKなものも
認証プロセス【拡張認証】 証明書の発行 登記や 帝国データバンク等の データベースを確認 申請責任者への 電話確認 申請責任者 権限確認者の確認 EV証明書
最も厳格な審査 最高度の信頼性を実現 金融機関などが多く利用 アドレスバーも違う! ドメイン名の 所有者・使用権限確認
アドレスバーの違い 企業認証(OV)、ドメイン認証(DV)では組織名称は表示されない 拡張認証(EV)では組織名称が表示されます。
スマホブラウザ 69 iPhoneでEV Android標準ブラウザだと EVでも社名は出ない
詳細表示のちがい OVとEVでは 組織名称が表示。 DVでは 組織名称が 表示されない。
ドメイン認証 企業認証 拡張認証 Domain Validation Organization Validation Extended Validation DV
OV EV サイトの性質や予算により 適切なものを選択しましょう
無料の証明書!?「 Let’s Encrypt 」とは https://letsencrypt.org/ Cisco Systemsやモジラ財団などの大手企業・団体がス ポンサーとして支援する非営利団体の ISRG(Internet Security
Research Group)が運営。 証明書を無料で発行し、HTTPS通信を普及させることを 目的。 レンタルサーバでは ファーストサーバとエックスサーバさんで簡単に 使えます! WordPress.comでも採用されています。
SNI 73 ▪SNI非対応のサービスだと サーバにドメイン名の設定は無制限に設定できても https化できるのは1つのみ。 https://example.com/ http://example.net/ http://example.org/ サーバー ▪SNI対応のサービスだと
1つのIPアドレスに対して複数のSSL証明書が設定できます。 https://example.com/ https://example.net/ https://example.org/ サーバー
WordPressを常時SSL化
まずはhttpsでアクセスできるように 75 証明書の申込などをしてから 【https】でアクセスしたときのドキュメントルートを設定 https://example.com/でCMSにアクセスできるように レンタルサーバによって違う (Zenlogicは結構簡単だと思うよ)
ダッシュボードでhttp→httpsに変更 76 ※サーバの仕様や設置ディレクトリにより注意してください
便利なプラグイン 77 https://ja.wordpress.org/plugins/really-simple-ssl/ リダイレクト設定を 入れたり 画像のパスとかを 変更してくれる
翻訳しました 78
11/12 WordBench山口でもいかがですか? 79
80 ご清聴ありがとうございました。 続きは懇親会などで。