Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
web屋が教えるWordPressのセキュリティー対策
Search
Tetsuya Yoshida
November 24, 2018
Technology
0
450
web屋が教えるWordPressのセキュリティー対策
2018年11月24日に開催されたウェブ心理塾セミナー祭りでの登壇資料です。
web制作会社がクライアント様にセキュリティー対策を行うように依頼された場合を想定して、対策を解説しました。
Tetsuya Yoshida
November 24, 2018
Tweet
Share
More Decks by Tetsuya Yoshida
See All by Tetsuya Yoshida
WooCommerceのセキュリティ
tetsu8yoshida
0
170
Daily maintenances of WordPress
tetsu8yoshida
0
95
サイトが消えてからでは遅い! 明日につなげるWordPressの保守管理
tetsu8yoshida
0
2.8k
よくある質問から考えるウェブ解析を使いこなすヒント
tetsu8yoshida
0
61
緊急時のサイト復元率を高める日常からのWordPress保守管理
tetsu8yoshida
1
610
技術者・制作者と一般ユーザーのセキュリティ意識の差
tetsu8yoshida
0
88
Other Decks in Technology
See All in Technology
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
3k
NLPコロキウム20251022_超効率化への挑戦: LLM 1bit量子化のロードマップ
yumaichikawa
2
370
Implementing and Evaluating a High-Level Language with WasmGC and the Wasm Component Model: Scala’s Case
tanishiking
0
170
From Natural Language to K8s Operations: The MCP Architecture and Practice of kubectl-ai
appleboy
0
170
AWS DMS で SQL Server を移行してみた/aws-dms-sql-server-migration
emiki
0
170
AI AgentをLangflowでサクッと作って、1日働かせてみた!
yano13
1
150
Zephyr(RTOS)にEdge AIを組み込んでみた話
iotengineer22
1
310
HonoとJSXを使って管理画面をサクッと型安全に作ろう
diggymo
0
170
AI時代におけるデータの重要性 ~データマネジメントの第一歩~
ryoichi_ota
0
710
データ戦略部門 紹介資料
sansan33
PRO
1
3.8k
AWS UG Grantでグローバル20名に選出されてre:Inventに行く話と、マルチクラウドセキュリティの教科書を執筆した話 / The Story of Being Selected for the AWS UG Grant to Attending re:Invent, and Writing a Multi-Cloud Security Textbook
yuj1osm
1
130
難しいセキュリティ用語をわかりやすくしてみた
yuta3110
0
380
Featured
See All Featured
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
34
2.3k
GitHub's CSS Performance
jonrohan
1032
470k
Testing 201, or: Great Expectations
jmmastey
45
7.7k
Gamification - CAS2011
davidbonilla
81
5.5k
Stop Working from a Prison Cell
hatefulcrawdad
272
21k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.6k
Code Review Best Practice
trishagee
72
19k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Statistics for Hackers
jakevdp
799
220k
Principles of Awesome APIs and How to Build Them.
keavy
127
17k
Thoughts on Productivity
jonyablonski
70
4.9k
Transcript
web屋が教える WordPressの セキュリティー対策 制作作業もこなすwebコンサルタント 吉田哲也 @tetsu8yoshida
制作作業もこなすwebコンサルタント 吉田哲也 2001年からWEB業界に携わり、 主にWEB解析、コンサルティングをしつつ、 マークアップ、CMSカスタマイズなど制作業務も 行っています。 手を動かさないと分からないアドバイス、 スポットコンサル、リニューアル前のデータ収集。 詳細はインタビュー記事参照。 @tetsu8yoshida
@tetsu8yoshida 趣味 ・サーフィン ・ハワイ島旅行 ↓ 作業の 効率化 どこでも仕事出来る環境作り
セキュリティーの 専門家 ではありません
web制作者として 「セキュリティーも 対策してください 」 と 言われたら どうするか
スライドは共有 @tetsu8yoshida 引用元、参考記事もツイートします
資料ダウンロード、 参考記事一覧は bit.ly/wp20181124/ で。
Twitter実況大歓迎 ハッシュタグは #ウェブ心理塾セミナー祭り
→
WordPressの セキュリティー対策
目次 1.制作環境の変化 2.セキュリティー被害 3.WordPressの脆弱性と対策
制作環境の変化
AI
AI AdobeMaxJapanにて撮影
Adobe Sensei
AI AdobeMaxJapanにて撮影 AdobeMaxJapanにて撮影
コンテンツに 応じた 塗りつぶし
AdobeMaxJapanにて撮影
AI+ 人力
LP制作
None
WordPress + ビジュアルエディター
今までの制作フロー よろしく!
これからの制作フロー 共有ツール + 簡単製作ツール
これからの制作フロー こうしたほうが 良いよ! こんな感じ?
webサイト運営上の セキュリティーリスク
web 改竄 個人 情報 迷惑 メール
web 改竄 個人 情報 迷惑 メール
web 改竄 日本では 月間100件の 被害報告
web 改竄 個人 情報 迷惑 メール
日本では 2017年 386件 519万人 個人 情報
web 改竄 個人 情報 迷惑 メール
迷惑 メール スパム送信の 踏み台にされる ※件数調査中
WordPressサイト 運営上リスク
サーバー Ver. ログイン
サーバー Ver. ログイン
サーバー IDパスワード流出 プログラム埋込 情報共有
WordCampTokyo2018にて撮影 https://www.tetsuya.yoshida.name /web/wordpressserver2018/
サーバー 完璧はない 対応の速さ・透明さ
サーバー Ver. ログイン
コアファイル プラグイン Ver.
None
None
バージョンアップ後は 動作確認を! バックアップ取ると なお良し。
サーバー Ver. ログイン
ログイン IDPW流出 ログインURL
ログイン IDPW流出 ログインURL
ログイン IDPW流出 管理 SSL化 推測しやすい設定
ログイン IDPW推測 初期設定だと 投稿者ID丸見え
None
ここの変更だけではダメ URLを書き出すスラッグ名も (プラグインなどで)
None
ログイン IDPW推測 ID分かれば 推測は数秒 ※参考記事紹介
ログイン IDPW推測 対策1.テンプレート調整 対策2.プラグイン 対策3.二段階認証 対策4.ログイン回数制限
ログイン IDPW流出 ログインURL
ログイン ログインURL これも 初期設定だと・・・
ログイン ログインURL /wp-admin/
ログイン ログインURL 対策1.functions.php 対策2.プラグイン 対策3.ベーシック認証 対策4.IPアドレス制限
ビジネス 情報発信 複雑な 設定 <
プラグインなら 今すぐ対策可能
オススメは?
万能なのはナシ
ログインURL問題 ログイン回数は SITE GUARD (日本語、無料 )
ID問題は Edit Author Slug ※調査検証中
プラグイン導入後は 動作確認を!
ブログ
独自ドメイン利用可能
WordPress使うなら WordPress.comも
まとめ ・完璧はない。何層にも。 ・プラグインで。 ・WordPressである必要性
普段は有料です。 どうしても対応出来ない ご相談ください。 質問箱は無料。
@tetsu8yoshida 懇親会・ブースでも お待ちしております。
@tetsu8yoshida WordPress MeetUPで情報収集
プラグインの使い方 動画チュートリアル @tetsu8yoshida フォロワー限定告知
資料ダウンロード、 参考記事一覧は bit.ly/wp20181124/ で。
@tetsu8yoshida ありがとうございました。
tetsu8yoshida
sansan33
yumaichikawa
tanishiking
appleboy
emiki
yano13
iotengineer22
diggymo
ryoichi_ota
yuj1osm
yuta3110
marcduiker
jonrohan
jmmastey
davidbonilla
hatefulcrawdad
tammyeverts
marktimemedia
trishagee
marcelosomers
jakevdp
keavy
jonyablonski
