Tokyo WordPress Meetup 10月「WordPress を守ろう!セキュリティの最新トレンドと対応事例」

セキュリティ/勉強会・イベント/WordPress MeetUp/
  1. ホーム
  2. セキュリティ
  3. Tokyo WordPress Meetup 10月「WordPress を守ろう!セキュリティの最新トレンドと対応事例」

こちらの記事は2018年10月19日に、東京で行われた、
WordPress MeetUPという勉強会のまとめです。

https://wbtokyo.doorkeeper.jp/events/80298

行ってみたいけどどんなことをするんだろう?

という方や

行けなかったから、内容が知りたい!

という方に向けて書きました。

10月のMeetUpは
「セキュリティの最新トレンドと対応事例」でしたよ!

大切なセキュリティの最新情報を
ぜひチェックしてくださいね!

WordPress管理者がおさえておきたい情報とは

WordPressのセキュリティ情報はどこから?

セキュリティ対策の情報は、
以下の3つの資料がおすすめ!とのことでした。

・OWASP TOP 10

クリックしてOWASP_Top_10-2017%28ja%29.pdfにアクセス

WordPressだけではなく、Web全般のセキュリティの
注意するべき点と対処法のトップ10がまとめられています。

・WordPressセキュリティ白書
https://ja.wordpress.org/security/
ちょっと難しいですが、WordPressに特化して
セキュリティ対策が日本語でまとめられています。
今、最新は2013とちょっと古いです。

・OWASP WordPress Security Implementation GuideLine
https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline
1番目のOWASPのWordPressに関連した部分です。
ここの情報が専門的で早いのですが、英語版のみです。

セキュリティ対策ポイント3つ

■ ログインを守る方法

【最強】ログインページの「wp-login.php」というファイルに、
アクセスできる人(場所)を限定する。

【強】IDとパスワードを入れた上、あらかじめ登録したメルアドや
携帯などで認証しないと入れなくする(2段階認証)

【中】パスワードを難しくする

いろいろな方法がありますが、強くするほど設定も面倒で
使いにくくなります。
使う人や環境に合わせた設定が必要ですね。

■ 脆弱性を確認する

本体、テーマ、プラグインに弱点が見つかることがあります。
その弱点(脆弱性・ぜいじゃくせい)の情報をチェックし、
最新情報に更新することが大切です。

アップデートは自動で行うように設定しておきましょう。
(基本的には、自分で変更しない限りは有効になっています)

■ WordPressの関数を使う

これは、WordPressのテーマやプラグインを作る方向けのアドバイスでした。

プログラムにはいろんな「関数」がありますが、
WordPressの公式の関数を使いましょう、というお話でした。

他、開発者の方向けに、
実際に悪意のある攻撃をしたらどうなるか?という
実践的なチェックができるサイトなども紹介してくださいました。

プレゼンテーション資料はこちらです。

実際にあったトラブル事例と対策

実際に、どんなセキュリティの事件が起こったか?
どのように対応したかのケーススタディをたくさんご紹介いただきました。

Case1: 気がついたら、ページをクリックすると
外国の宣伝ページが開くようになった。

原因・・・サイトが書き換えられて、スパムサイトへ飛ぶような
コードが埋め込まれていた。

おそらく、利用している人が「フィッシング」という
IDとパスワードを間違えて入力させようとするサイトを見て
騙されて入力してしまったのではないか?とのことでした。

Case2: 気がついたら、英語の宣伝(スパム)の
記事がたくさん投稿されていた

原因・・・単純なパスワードを使っていた

多くの方がログインするサイトのため、パスワードを
変更するのが難しい、というご状況だったそうです。

これを機に変更して、アクセスログをとるようにしたそうです。

・・・などなど、勉強になるたくさんのケースを
紹介してくださいました。

もっと見たい方はこちらからどうぞ!

会場 スマートニュース株式会社さん

会場は、渋谷から原宿方面にしばらく歩いたところにある
スマートニュース株式会社の2Fでした。

広くてきれいな会場に、ブッフェの食器のような設備・・

何かな?と思ったら、スマートニュースの方は
こちらで毎日ヘルシーなランチが無料でいただけるんですって!

さらにオフィスにはバリスタさん在中で
美味しいコーヒーが飲めるんだとか。。

https://developer.smartnews.com/blog/2018/08/company-benefits/

羨ましすぎます。

WordPressMeetUpのような勉強会に
会場も貸し出したりしてくれるそうなので
ご興味のある方はお問い合わせしてみてはいかがでしょう^^

ではまた次回の勉強会でお会いしましょう♪
主催者の皆様、ありがとうございました。

おみやげにいただいた「わぷー」グッズたち。

おまけ セキュリティわぷー

そうそう、WordPressのキャラクター、
「わぷー」はテーマやコンセプトに応じて
自由にアレンジして良いことになっているので

「セキュリティ」わぷーを作ろうと話していたのでした。

こんなのどうでしょう?

メタルスライムわぷー。

固そうでしょ?(笑)

※メタルスライムをご存知ない方へ

ゲーム「ドラゴンクエスト」シリーズに出てくる
敵キャラクターです。

普通弱い「スライム」がミスリル(※)になることで
めちゃくちゃ防御力が高くなっています。

※架空の金属
公式設定かどうかわかりませんが
ドラゴンクエストモンスター物語で
スライムが多様に変化した理由として語られていました。