投稿者:

WordBench Osaka Vol.22の振り返りレポート

11月 14, 2013 (大阪)

2013年10月19日に開催されました、WordBench Osaka Vol.22の振り返りレポートです。

by.@dk45blog

お題は「WordPressのセキュリティを学ぼう!そして考えよう!」という内容でした。80人(後に90人に増員)の定員はあっという間に埋まり、今、WordPressのセキュリティ問題に多くの方が関心を持っている事がわかりました。

1422576_570485503020548_664331047_n

「WEBサイトを安全にするために」

まずはこばやしたけし(@tama200x)さんから、「WEBサイトを安全にするために」とう題で発表がありました。

近年WEBサイトの改ざん件数はどんどん増えており、その目的の多くはデータの不正入手やボットネットの構築であり、少し前に起こったWordPressサイトの大規模ハッキングなどで見受けられたような、愉快犯的なものは少ないようです。

WordPressが攻撃の対象になるのは、他のCMSと比べて特にセキュリティ面で問題があるという訳ではなく、多くのウェブサイトで使われているために効率よく攻撃できることや、オープンソース故にソースコードを参照して脆弱性をつきやすいことが原因なのでは、との事でした。(ソースコードが多くの人の目に触れることで、脆弱性を発見しやすいという面もあるのですが)

これらの攻撃から自分のサイトを守るためには、まずは

・FTPアカウントが外部に知られないように
・FTPではなく、より安全なSFTP、SSHなどを使う
・OSやアプリケーションをアップデートする
・WAF(Web Apprication Firewall)を併用する

などの、WEBサイトの一般的なセキュリティ対策に加えて、

・管理画面への不正侵入を防ぐ(パスワードを複雑化する、ログイン画面をIP制限する、等)
・コアファイルやテーマを随時、アップデートする
・野良テーマ、野良プラグインは使わない
・更新する端末もセキュリティ対策する(ウィルスソフトを入れる、等)
・改ざんされたらすぐに探知できるようにする(プラグインでログインのログをとる、ウェブマスターツールでアラートを受け取る、等)
・万が一改ざんされたら、復旧できるようにバックアップをとる

等の、WordPressサイトに特有の対策が必要になります。

また、WEBサイトの運用においては、もしクライアントのWEBサイトが改ざんされた際の連絡体制や担当について、日頃から緊急事態を想定して対応を考えておく事が大切なようです。

▼詳しくはこばやしさんのプレゼン資料をご参照ください。
http://www.slideshare.net/tama200x/wordbench22

 

「さくらとWordPressとセキュリティの事情」

by. さくらインターネット株式会社 林さん

次に、さくらインターネットの林さんより「さくらとWordPressとセキュリティの事情」、ファーストサーバの小島さんより「レンタルサーバでのセキュリティよもやま話」というタイトルでの発表がありました。

さくらインターネットさんとファーストサーバさんが並んでお話をするというのは、なんと世界初!(たぶん)との事で、とても貴重な機会となりました。

さくらインターネットではWordPressのクイックインストール機能や、安全性を高めるためのWAFが用意されているそうです。

セキュリティ対策で大切な事は、やはり、強固なパスワード、バージョンアップ、ログイン履歴の記録という点はこばやしさんと同じで、サクラのサーバでは、管理画面でログイン履歴を確認することができるので、活用してほしいとの事でした。
あとは、セキュリティに関する最新情報に日頃から関心をもち、情報収集を心がけよう、というのにとても納得!でした。

 

「レンタルサーバでのセキュリティよもやま話」

by. ファーストサーバ株式会社 小島さん

続いて小島さんがされたお話では、さすがサーバにまつわるトラブルを日々見ていらっしゃるだけあり、けっこう怖いエピソードがちらほら。。

セキュリティ対策はシステム上の脆弱性だけが原因ではなく、例えば、担当者が退社してもパスワードを変えなかったがために、外部からログインされてしまったり。テスト環境に激甘のパスワードを設定してそのままにしていたためにハッキングされたり。そういった人為的なミスもけっこうあるので、気をつけましょうとの事でした。

 

「WordPress初心者向けセキュリティここを気をつけよう話」

by. @miya0001

次は、様々なWordPressプラグインを作成している宮内さん(@miya0001)より、「WordPress初心者向けセキュリティここを気をつけよう話」というタイトルで、初心者が使うことが多い、共用タイプのレンタルサーバでWordPressを運用する際の注意点についてお話がありました。

まずインストールでは、「簡単インストール」機能を使う!との事。自己判断でやるよりは、そのサーバの仕様にあわせて最適に設定をしてもらえるはずなので、安全なのだそうです。

また、プラグインをインストールぶ時はもちろん公式からで、同じような機能のプラグインがいくつかあるのであれば、更新されていて多くのレビューが集まっているものを選ぶのが安全に運用するコツだと教えていただきました。

あとは、きちんとコアファイルやプラグインのアップデートをしていく、安全なパスワードを使う、バックアップをきちんととる(純正バックアップ・プラグインのVaultPressがオススメ)等、やはり基本的な対策は同じなのだなと思いました。

▼宮内さんの資料はこちら
初心者のための-wordpress-セキュリティ入門

 

「デザイナーなりにやっているセキュリティ対策&こんなことが疑問」

by. dk45blog

最後に、石田(@dk45blog)から「デザイナーなりにやっているセキュリティ対策&こんなことが疑問」という内容で、サーバの高度な知識はないけれど、プラグイン等を活用してやっているセキュリティ対策についてお話し、日頃から「これどうなんだろう?」と疑問に思っている事を発表しました。

▼石田の資料はこちら
http://www.slideshare.net/ishidamiho/word-benchosaka-vol22ishida

資料の中で紹介しているツールやプラグインをご紹介します。

パスワード生成ツール →破られにくいパスワードを設定
Force Email Login →メールアドレスをログインIDにして不正ログインを防ぐ
Limit Login Attempts →同一IPからの連続ログインを防ぐ
Crazy Bone →ログイン履歴を記録する
WP-DBManager →DBのバックアップを自動で定期的にとる

その後、当日の登壇者が並んでの座談会が行われ、参加者の方からはWordPressやサーバ全般に関する質問がありました。

WordPressのセキュリティ対策については、ネット上で様々な情報が飛び交っているので判断に迷っていましたが、今回のWordBenchでは疑問点をクリアにして正しい知識を得る事がででき、とても感謝しております。

お世話役のみなさま、登壇者のみなさま、会場を手配いただいたさくらインターネットさま、会場をご提供いただいた篠原電機株式会社さま、どうもありがとうございました!

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

ツールバーへスキップ