Upgrade to Pro — share decks privately, control downloads, hide ads and more …

web屋が教えるWordPressのセキュリティー対策

Avatar for Tetsuya Yoshida Tetsuya Yoshida
November 24, 2018
Technology
0
410

 web屋が教えるWordPressのセキュリティー対策

2018年11月24日に開催されたウェブ心理塾セミナー祭りでの登壇資料です。
web制作会社がクライアント様にセキュリティー対策を行うように依頼された場合を想定して、対策を解説しました。
Avatar for Tetsuya Yoshida

Tetsuya Yoshida

November 24, 2018
Tweet

More Decks by Tetsuya Yoshida

See All by Tetsuya Yoshida
WooCommerceのセキュリティ
Avatar for Tetsuya Yoshida tetsu8yoshida
0
150
Daily maintenances of WordPress
Avatar for Tetsuya Yoshida tetsu8yoshida
0
83
サイトが消えてからでは遅い! 明日につなげるWordPressの保守管理
Avatar for Tetsuya Yoshida tetsu8yoshida
0
2.7k
よくある質問から考えるウェブ解析を使いこなすヒント
Avatar for Tetsuya Yoshida tetsu8yoshida
0
58
緊急時のサイト復元率を高める日常からのWordPress保守管理
Avatar for Tetsuya Yoshida tetsu8yoshida
1
560
技術者・制作者と一般ユーザーのセキュリティ意識の差
Avatar for Tetsuya Yoshida tetsu8yoshida
0
81

Other Decks in Technology

See All in Technology
SREからゼロイチプロダクト開発へ ー越境する打席の立ち方と期待への応え方ー / Product Engineering Night #8
Avatar for itkq itkq
2
1.1k
品質文化を支える小さいクロスファンクショナルなチーム / Cross-functional teams fostering quality culture
Avatar for とうま toma_sm
0
180
Как мы автоматизировали интеграционное тестирование с Gonkey и не пожалели. Паша Егорычев, Кирилл Поляков
Avatar for Lamoda Tech lamodatech
0
1.7k
30代からでも遅くない! 内製開発の世界に飛び込み、最前線で戦うLLMアプリ開発エンジニアになろう
Avatar for みのるん minorun365
PRO
16
5.1k
【Oracle Cloud ウェビナー】ご希望のクラウドでOracle Databaseを実行〜マルチクラウド・ソリューション徹底解説〜
Avatar for oracle4engineer oracle4engineer
PRO
1
140
AIとSREで「今」できること
Avatar for HonMarkHunt honmarkhunt
3
690
時間がないなら、つくればいい 〜数十人規模のチームが自律性を発揮するために試しているいくつかのこと〜
Avatar for KAKEHASHI kakehashi
PRO
0
110
社会人力と研究力ー博士号をキャリアの武器にするー
Avatar for Kentaro Kuribayashi kentaro
2
100
ここはMCPの夜明けまえ
Avatar for nwiizo nwiizo
32
13k
MySQL Indexes and Histograms – How they really speed up your queries
Avatar for lefred lefred
0
150
白金鉱業Meetup_Vol.18_生成AIはデータサイエンティストを代替するのか?
Avatar for BrainPad brainpadpr
4
220
テストって楽しい!開発を加速させるテストの魅力 / Testing is Fun! The Fascinating of Testing to Accelerate Development
Avatar for END aiandrox
0
160

Featured

See All Featured
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
53k
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
28
5.3k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
61k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
430
65k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
298
20k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
129
19k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
349
20k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
5
550
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
41
2.6k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
60k

Transcript

  1. web屋が教える WordPressの セキュリティー対策 制作作業もこなすwebコンサルタント 吉田哲也 @tetsu8yoshida

  2. 制作作業もこなすwebコンサルタント 吉田哲也 2001年からWEB業界に携わり、 主にWEB解析、コンサルティングをしつつ、 マークアップ、CMSカスタマイズなど制作業務も 行っています。 手を動かさないと分からないアドバイス、 スポットコンサル、リニューアル前のデータ収集。 詳細はインタビュー記事参照。 @tetsu8yoshida

  3. @tetsu8yoshida 趣味 ・サーフィン ・ハワイ島旅行 ↓ 作業の 効率化 どこでも仕事出来る環境作り

  4. セキュリティーの 専門家 ではありません

  5. web制作者として 「セキュリティーも 対策してください 」 と 言われたら どうするか

  6. スライドは共有 @tetsu8yoshida 引用元、参考記事もツイートします

  7. 資料ダウンロード、 参考記事一覧は bit.ly/wp20181124/ で。

  8. Twitter実況大歓迎 ハッシュタグは #ウェブ心理塾セミナー祭り

  10. WordPressの セキュリティー対策

  11. 目次 1.制作環境の変化 2.セキュリティー被害 3.WordPressの脆弱性と対策

  12. 制作環境の変化

  13. AI

  14. AI AdobeMaxJapanにて撮影

  15. Adobe Sensei

  16. AI AdobeMaxJapanにて撮影 AdobeMaxJapanにて撮影

  17. コンテンツに 応じた 塗りつぶし

  18. AdobeMaxJapanにて撮影

  19. AI+ 人力

  20. LP制作

  21. None

  22. WordPress + ビジュアルエディター

  23. 今までの制作フロー よろしく!

  24. これからの制作フロー 共有ツール + 簡単製作ツール

  25. これからの制作フロー こうしたほうが 良いよ! こんな感じ?

  26. webサイト運営上の セキュリティーリスク

  27. web 改竄 個人 情報 迷惑 メール

  28. web 改竄 個人 情報 迷惑 メール

  29. web 改竄 日本では 月間100件の 被害報告

  30. web 改竄 個人 情報 迷惑 メール

  31. 日本では 2017年 386件 519万人 個人 情報

  32. web 改竄 個人 情報 迷惑 メール

  33. 迷惑 メール スパム送信の 踏み台にされる ※件数調査中

  34. WordPressサイト 運営上リスク

  35. サーバー Ver. ログイン

  36. サーバー Ver. ログイン

  37. サーバー IDパスワード流出 プログラム埋込 情報共有

  38. WordCampTokyo2018にて撮影 https://www.tetsuya.yoshida.name /web/wordpressserver2018/

  39. サーバー 完璧はない 対応の速さ・透明さ

  40. サーバー Ver. ログイン

  41. コアファイル プラグイン Ver.

  42. None
  43. None

  44. バージョンアップ後は 動作確認を! バックアップ取ると なお良し。

  45. サーバー Ver. ログイン

  46. ログイン IDPW流出 ログインURL

  47. ログイン IDPW流出 ログインURL

  48. ログイン IDPW流出 管理 SSL化 推測しやすい設定

  49. ログイン IDPW推測 初期設定だと 投稿者ID丸見え

  50. None

  51. ここの変更だけではダメ URLを書き出すスラッグ名も (プラグインなどで)

  52. None

  53. ログイン IDPW推測 ID分かれば 推測は数秒 ※参考記事紹介

  54. ログイン IDPW推測 対策1.テンプレート調整 対策2.プラグイン 対策3.二段階認証 対策4.ログイン回数制限

  55. ログイン IDPW流出 ログインURL

  56. ログイン ログインURL これも 初期設定だと・・・

  57. ログイン ログインURL /wp-admin/

  58. ログイン ログインURL 対策1.functions.php 対策2.プラグイン 対策3.ベーシック認証 対策4.IPアドレス制限

  59. ビジネス 情報発信 複雑な 設定 <

  60. プラグインなら 今すぐ対策可能

  61. オススメは?

  62. 万能なのはナシ

  63. ログインURL問題 ログイン回数は SITE GUARD (日本語、無料 )

  64. ID問題は Edit Author Slug ※調査検証中

  65. プラグイン導入後は 動作確認を!

  66. ブログ

  67. 独自ドメイン利用可能

  68. WordPress使うなら WordPress.comも

  69. まとめ ・完璧はない。何層にも。 ・プラグインで。 ・WordPressである必要性

  70. 普段は有料です。 どうしても対応出来ない ご相談ください。 質問箱は無料。

  71. @tetsu8yoshida 懇親会・ブースでも お待ちしております。

  72. @tetsu8yoshida WordPress MeetUPで情報収集

  73. プラグインの使い方 動画チュートリアル @tetsu8yoshida フォロワー限定告知

  74. 資料ダウンロード、 参考記事一覧は bit.ly/wp20181124/ で。

  75. @tetsu8yoshida ありがとうございました。