Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
WordBench山口0407
Search
Kenji Kojima
April 07, 2018
Technology
1
260
WordBench山口0407
WordBench山口0407の資料です
Kenji Kojima
April 07, 2018
Tweet
Share
More Decks by Kenji Kojima
See All by Kenji Kojima
WordBench_Toyama0126
kenjikojima
0
79
WordBench_Gifu1202
kenjikojima
1
1.1k
WordBench_Niigata1007
kenjikojima
0
79
WordBench_Niigata10072
kenjikojima
0
91
MT Tokyo 20170930
kenjikojima
0
340
CS Beer Bash Osaka Vol.2
kenjikojima
0
1.5k
2017/2/12WordBench奈良
kenjikojima
3
570
20170211WordBench大阪
kenjikojima
0
310
第3回WordBench 山口
kenjikojima
1
770
Other Decks in Technology
See All in Technology
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
140
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
Zennのパフォーマンスモニタリングでやっていること
ryosukeigarashi
0
160
これまでの計測・開発・デプロイ方法全部見せます! / Findy ISUCON 2024-11-14
tohutohu
3
370
Lambdaと地方とコミュニティ
miu_crescent
2
370
Terraform Stacks入門 #HashiTalks
msato
0
360
【Pycon mini 東海 2024】Google Colaboratoryで試すVLM
kazuhitotakahashi
2
540
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
660
SSMRunbook作成の勘所_20241120
koichiotomo
3
160
Lexical Analysis
shigashiyama
1
150
アプリエンジニアのためのGraphQL入門.pdf
spycwolf
0
100
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
180
Featured
See All Featured
GitHub's CSS Performance
jonrohan
1030
460k
Thoughts on Productivity
jonyablonski
67
4.3k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
10 Git Anti Patterns You Should be Aware of
lemiorhan
655
59k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
47
2.1k
A Philosophy of Restraint
colly
203
16k
Docker and Python
trallard
40
3.1k
Facilitating Awesome Meetings
lara
50
6.1k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Done Done
chrislema
181
16k
Typedesign – Prime Four
hannesfritz
40
2.4k
Transcript
Copyright© 2015 FirstServer, Inc. All rights reserved. 1 WordPressのセキュリティと 安心できるWebサイトについて
2018年4月7日 小島 健司 第8回 WordBench山口
Copyright© 2015 FirstServer, Inc. All rights reserved. 2 社名 ファーストサーバ株式会社
FirstServer, Inc. 所在地 大阪市中央区安土町1丁目8番15号 野村不動産大阪ビル3F 事業開始 1996年7月 資本金 1億円 主要株主 ソフトバンク株式会社 事業内容 レンタルサーバーサービス ドメイン名登録サービス クラウドサービス 会 社 紹 介
Copyright© 2015 FirstServer, Inc. All rights reserved. 3 ヤフーからソフトバンクの子会社に代わりました https://cloud.watch.impress.co.jp/docs/news/ranking/1113428.html
https://www.softbank.jp/corp/group/sbm/news/press/2018/20180320_01/
Copyright© 2015 FirstServer, Inc. All rights reserved. 4 ファーストサーバとは? ・1996年に大阪で創業した老舗のレンタルサーバー会社
・「Zenlogic(ゼンロジック)」ブランドでITサービスを展開 ・中小企業を中心に約3万社のお客様 カテゴリ 主な提供サービス レンタルサーバー/ アプリケーション ・レンタルサーバおよび周辺サービス ・グループウェアなどのアプリケーションサービスも開発元と協業で提供 メールセキュリティ ・Symantec Email Security.cloud ドメイン ・ドメイン名サービス : 国内6番目のICANN公認レジストラ その他 ・便利な無料サービス DTMS
Copyright© 2015 FirstServer, Inc. All rights reserved. 5 自己紹介 小島
健司@ファーストサーバ株式会社 WordBench Osakaモデレータの一人 今年もWordCamp Osaka 2018スタッフしています。 2016年10月ぶり、人生2度目の山口。
Copyright© 2015 FirstServer, Inc. All rights reserved. 6 兵庫県警で登壇しました
Copyright© 2015 FirstServer, Inc. All rights reserved. 7 兵庫県警に呼ばれたきっかけ
Copyright© 2015 FirstServer, Inc. All rights reserved. 8 聞き飽きてるかもしれませんが
最新版にアップデート! 単純なパスワードは厳禁!
Copyright© 2015 FirstServer, Inc. All rights reserved. 9 セキュリティ対策 事前対策と事後対策
今日はどちらかというと こちらよりのお話し
Copyright© 2015 FirstServer, Inc. All rights reserved. 10 レンタルサーバで何をやられるか
メールを大量に送るスクリプトを設置 フィッシングサイトを設置 不正なサイトへの誘導 サイトの書換え 情報を盗む etc.
Copyright© 2015 FirstServer, Inc. All rights reserved. 11 発覚の経緯
自分で気づく サーバ会社からの指摘 閲覧者からの指摘 セキュリティ団体や会社 その他外部団体からの指摘 etc.
Copyright© 2015 FirstServer, Inc. All rights reserved. 12 何をやられるか
メールを大量に送るスクリプトを設置 フィッシングサイトを設置 不正なサイトへの誘導 サイトの書換え 情報を盗む etc.
Copyright© 2015 FirstServer, Inc. All rights reserved. 13 何をやられるか
メールを大量に送るスクリプトを設置 フィッシングサイトを設置 不正なサイトへの誘導 サイトの書換え 情報を盗む etc.
Copyright© 2015 FirstServer, Inc. All rights reserved. 14 フィッシングサイトの警告例
Copyright© 2015 FirstServer, Inc. All rights reserved. 15 何をやられるか
メールを大量に送るスクリプトを設置 フィッシングサイトを設置 不正なサイトへの誘導 サイトの書換え 情報を盗む etc.
Copyright© 2015 FirstServer, Inc. All rights reserved. 16 何をやられるか
メールを大量に送るスクリプトを設置 フィッシングサイトを設置 不正なサイトへの誘導 サイトの書換え 情報を盗む etc.
Copyright© 2015 FirstServer, Inc. All rights reserved. 17 何をやられるか
メールを大量に送るスクリプトを設置 フィッシングサイトを設置 不正なサイトへの誘導 サイトの書換え 情報を盗む →漏えい事故の可能性 どのフォルダにアクセスされて何を!
サーバ上にどんなデータがあるか等 大まかにでも把握していますか?
改ざんされたら
まず 落ち着 く
現状保存
デジタルフォレンジック コンピュータに関する科学調査 鑑識みたいなイメージ 高額になることも
「市教委はセキュ リティー業者に サーバーの調査を 依頼して再発防止 策を探るととも に・・・」 こういうやつ
Copyright© 2015 FirstServer, Inc. All rights reserved. 24 ログの活用 •
利用しているサービスにより提供される ログに違いがあります • 見方はサポートサイトなどで掲載されています • ログで調査した結果WordPressが原因ではない こともあります
バックアップからリストア
https://ja.wordpress.org/plugins/all-in-one-wp-migration/ プラグイン All-in-One WP Migration サーバーの移行にとても便利なプラグイン バックアップ・リストアとしても利用できる
Copyright© 2015 FirstServer, Inc. All rights reserved. 27 まとめ
落ち着く →結構大事! 保全する →あとの調査に必要、すぐ消さない 直す →バックアップからの戻し方理解してる? 原因調査 →ログを活用 改善→事前対策 →原因みつけて再発防止、更に強固に
Copyright© 2015 FirstServer, Inc. All rights reserved. 28 常時SSLでも信頼されないサイト例
Copyright© 2015 FirstServer, Inc. All rights reserved. 29 もったいない事例 混在コンテンツ
リダイレクトされない
Copyright© 2015 FirstServer, Inc. All rights reserved. 30 もったいない事例 wwwなしの証明書が無い
Copyright© 2015 FirstServer, Inc. All rights reserved. 31 もったいない事例(メルマガ) 「
http://r10.to 」 フィッシングでは無さそうだけど 同社のフィッシングも多いので クリックしたくない感じ。 クリックするとEV証明書を 採用したページへ
Copyright© 2015 FirstServer, Inc. All rights reserved. 32 有効期限にも気を付ける 利用しているレンタルサーバ会社で
扱っている証明書なら安心!
Copyright© 2015 FirstServer, Inc. All rights reserved. 33 セキュリティや訪問者の行動を考えて 安心できる良いサイト作りましょう
ご清聴ありがとうございました。
Copyright© 2015 FirstServer, Inc. All rights reserved. 34