Tokyo WordPress Meetup 10月「WordPress を守ろう!セキュリティの最新トレンドと対応事例」

2018年10月19日に、東京で行われた、
WordPress MeetUPという勉強会のまとめです。

https://wbtokyo.doorkeeper.jp/events/80298

行ってみたいけどどんなことをするんだろう?

という方や

行けなかったから、内容が知りたい!

という方へ

10月のMeetUpは
「セキュリティの最新トレンドと対応事例」でした。

それでは早速、どんなお話があったか
概要お話しします。

WordPress管理者がおさえておきたい情報とは

WordPressのセキュリティ情報はどこから?

セキュリティ対策の情報は、
以下の3つの資料がおすすめ!とのことでした。

・OWASP TOP 10
https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf
WordPressだけではなく、Web全般のセキュリティの
注意するべき点と対処法のトップ10がまとめられています。

・WordPressセキュリティ白書
https://ja.wordpress.org/security/
ちょっと難しいですが、WordPressに特化して
セキュリティ対策が日本語でまとめられています。
今、最新は2013とちょっと古いです。

・OWASP WordPress Security Implementation GuideLine
https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline
1番目のOWASPのWordPressに関連した部分です。
ここの情報が専門的で早いのですが、英語版のみです。

 

セキュリティ対策ポイント3つ

■ ログインを守る方法例

【最強】ログインページの「wp-login.php」というファイルに、
アクセスできる人(場所)を限定する。

【強】IDとパスワードを入れた上、あらかじめ登録したメルアドや
携帯などで認証しないと入れなくする(2段階認証)

【中】パスワードを難しくする

いろいろな方法がありますが、強くするほど設定も面倒で
使いにくくなります。
使う人や環境に合わせた設定が必要ですね。

■ 脆弱性を確認する

本体、テーマ、プラグインに弱点が見つかることがあります。
その弱点(脆弱性・ぜいじゃくせい)の情報をチェックし、
最新情報に更新することが大切です。

アップデートは自動で行うように設定しておきましょう。
(基本的には、自分で変更しない限りは有効になっています)

■ WordPressの関数を使う
これは、WordPressのテーマやプラグインを作る方向けのアドバイスでした。

プログラムにはいろんな「関数」がありますが、
WordPressの公式の関数を使いましょう、というお話でした。

他、開発者の方向けに、
実際に悪意のある攻撃をしたらどうなるか?という
実践的なチェックができるサイトなども紹介してくださいました。

プレゼンテーション資料はこちらです。

 

実際にあったトラブル事例と対策

実際に、どんなセキュリティの事件が起こったか?の事例と
どのように対応したかをお話くださいました。

リアルなお話がとても勉強になりました^^

 

Case1: 気がついたら、ページをクリックすると
外国の宣伝ページが開くようになった。

原因・・・サイトが書き換えられて、スパムサイトへ飛ぶような
コードが埋め込まれていた。

おそらく、利用している人が「フィッシング」という
IDとパスワードを間違えて入力させようとするサイトを見て
騙されて入力してしまったのではないか?とのことでした。

 

Case2: 気がついたら、英語の宣伝(スパム)の
記事がたくさん投稿されていた

原因・・・単純なパスワードを使っていた

多くの方がログインするサイトのため、パスワードを
変更するのが難しい、というご状況だったそうです。

これを機に変更して、アクセスログをとるようにしたそうです。

・・・などなど、勉強になるたくさんのケースを
紹介してくださいました。

もっと見たい方はこちらからどうぞ!

 

会場 スマートニュース株式会社さん

会場は、渋谷から原宿方面にしばらく歩いたところにある
スマートニュース株式会社の2Fでした。

広くてきれいな会場に、ブッフェの食器のような設備・・

何かな?と思ったら、スマートニュースの方は
こちらで毎日ヘルシーなランチが無料でいただけるんですって!

さらにオフィスにはバリスタさん在中で
美味しいコーヒーが飲めるんだとか。。

https://developer.smartnews.com/blog/2018/08/company-benefits/

羨ましすぎます。

 

WordPressMeetUpのような勉強会に
会場も貸し出したりしてくれるそうなので
ご興味のある方はお問い合わせしてみてはいかがでしょう^^

ではまた次回の勉強会でお会いしましょう♪
主催者の皆様、ありがとうございました。

おみやげにいただいた「わぷー」グッズたち。

 

そうそう、WordPressのキャラクター、
「わぷー」はテーマやコンセプトに応じて
自由にアレンジして良いことになっているので

「セキュリティ」わぷーを作ろうと話していたのでした。

こんなのどうでしょう?

メタルスライムわぷー。

固そうでしょ?

(ドラクエに出てくる、メタルスライムは
ものすごく防御力が高くて、なかなか倒せないのです)

だめか^^

Follow me!

村重敦子

「猫でもわかる!」くらい簡単にわかりやすく、WordPressの使い方をサポートする、WordPressソムリエです。デザインを学んだ後、なぜかレストランでワインサービスに従事。絵も描けるワインソムリエでした。その後大手通信会社に勤めIT・Webの各種サポートを経験。ソムリエもWebも常に「専門知識をお客様に合わせてわかりやすくご提案し、期待以上のサービスをする」ことをモットーとしています。テクニカルサポートの経験は、通算1,100人以上。現在はWebデザイン・ディレクターをしながら、ブログ集客をしたい方へWordPressの制作、使い方のレクチャーなどを行っています。