狠狠撸

狠狠撸Share a Scribd company logo

WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』

?
?
J
JPCERT Coordination Center

WordBench 2017 July のライトニングトークの資料です.DBのバックアップをうっかりインターネットに公開していた,というインシデントを振り返り,WordPress プラグインのセキュリティについてみてみました.

1 of 16
Download to read offline
WordPressとバックアップの話 @WordBench東京 7?勉強会 LT 2017年7?23? JPCERT Coordination Center 久保 正樹
Copyright ?2016 JPCERT/CC All rights reserved. About Me ? 久保正樹 (くぼまさき) ? 脆弱性のコーディネーター ? Internet Week 2017 プログラム委員 ? セキュアコーディング関連の翻訳 1
Copyright ?2016 JPCERT/CC All rights reserved. What we do at JPCERT/CC インシデント ?報告の受付 ?対応?援(分析) ?情報共有 脆弱性 ?開発者との調整 ?脆弱性アドバイザリの公表 国際間連携 2
Copyright ?2016 JPCERT/CC All rights reserved. 最近の事案 発?者 ? フリージャーナリストHanno B?ck ? ? from Berlin, Germany ? 在野の脆弱性研究者 ? サーバのシステム管理も 内容 ? 2,000 サイトでDBのダンプファイルがドキュメントルー ト配下に保存されていた ? 20万件の転居データ(ドイツ) ? 60万件の薬の購買履歴(オーストラリア) ? ?本のサイトも 3
Copyright ?2016 JPCERT/CC All rights reserved. ドイツメディアでの報道 (2017-07-05) 4 https://www.umziehen.de/dump.sql
Copyright ?2016 JPCERT/CC All rights reserved. 通知してわかったこと 原因は2つ 1. サーバ移?時にDBのダンプファイルをドキュメント ルートに設置.作業完了後に削除し忘れた 2. バックアップをドキュメントルートに格納していた え?どういうこと? 5
Copyright ?2016 JPCERT/CC All rights reserved. WordPress のバックアップツールといえば 6 https://japan.norton.com/wordpress-backup-6384
Copyright ?2016 JPCERT/CC All rights reserved. BackWPup 7
Copyright ?2016 JPCERT/CC All rights reserved. オススメの「フォルダにバックアップ」 8 https://japan.norton.com/wordpress-backup-6384
Copyright ?2016 JPCERT/CC All rights reserved. BackWPup を試してみました 9
Copyright ?2016 JPCERT/CC All rights reserved. バックアップの保存先 10 htdocs/wordpress/wp- content/uploads/backwpup-69f694-backups/
Copyright ?2016 JPCERT/CC All rights reserved. バックアップファイルのパーミッション 11 バックアップフォルダは外部公開されないよう .htaccess でアクセス制御されている
Copyright ?2016 JPCERT/CC All rights reserved.12 ほかのプラグインは ?丈夫?
Copyright ?2016 JPCERT/CC All rights reserved.13 調べてみました! (ごく?部のみをご紹介)
Copyright ?2016 JPCERT/CC All rights reserved.14 プラグイン名 バージョン Active Install ドキュメントルートへ保存 アクセス制御 備考 UpdraftPlus Backup/Restore 1.13.4 100万+ あり wordpress/wp-content/updraft ダウンロード不可 (.htaccess) All-in-One WP Migration 6.53 600,000+ あり wordpress/wp-content/ai1wm- backups ダウンロード可 (localhost-wordpress- 20170721-065952- 250.wpress ) ファイル名を推 測する必要があ る Backup 1.1.46 90,000+ あり wp-content/uploads/backup- guard ダウンロード不可 (.htaccess) Backup by Supsystic 2.0.11 3,000+ あり wp- content/upsupsystic/backup_201 7_07_21-09_27_09_id1.sql ダウンロード可 (.htaccess はあるものの, バックアップファイ ル .sql はアクセス制限さ れてない) ファイル名を推 測する必要あり Backup Database 4.5.4 2,000+ あり wp-content/uploads/backup- database/Jul-21-2017-95017- bak.zip ダウンロード不可 (.htaccess) BackUpWordPre ss 3.6.4 200,000+ あり wp-content/backupwordpress- 9b831433ee-backups ダウンロード不可 (.htaccess) CYAN Backup 2.3 2,000+ なし /var/folders/rp/z0kt06xn4gbcn3h h8gb8syvw0000gn/T ダウンロード不可
Copyright ?2016 JPCERT/CC All rights reserved. まとめ バックアップファイル(バックアップツー ル)をうっかり公開していないか,いま? 度確認を! プラグインでバックアップする場合は, バックアップ先とアクセス制御を確認しま しょう 15

More Related Content

WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』

  • 2. Copyright ?2016 JPCERT/CC All rights reserved. About Me ? 久保正樹 (くぼまさき) ? 脆弱性のコーディネーター ? Internet Week 2017 プログラム委員 ? セキュアコーディング関連の翻訳 1
  • 3. Copyright ?2016 JPCERT/CC All rights reserved. What we do at JPCERT/CC インシデント ?報告の受付 ?対応?援(分析) ?情報共有 脆弱性 ?開発者との調整 ?脆弱性アドバイザリの公表 国際間連携 2
  • 4. Copyright ?2016 JPCERT/CC All rights reserved. 最近の事案 発?者 ? フリージャーナリストHanno B?ck ? ? from Berlin, Germany ? 在野の脆弱性研究者 ? サーバのシステム管理も 内容 ? 2,000 サイトでDBのダンプファイルがドキュメントルー ト配下に保存されていた ? 20万件の転居データ(ドイツ) ? 60万件の薬の購買履歴(オーストラリア) ? ?本のサイトも 3
  • 5. Copyright ?2016 JPCERT/CC All rights reserved. ドイツメディアでの報道 (2017-07-05) 4 https://www.umziehen.de/dump.sql
  • 6. Copyright ?2016 JPCERT/CC All rights reserved. 通知してわかったこと 原因は2つ 1. サーバ移?時にDBのダンプファイルをドキュメント ルートに設置.作業完了後に削除し忘れた 2. バックアップをドキュメントルートに格納していた え?どういうこと? 5
  • 7. Copyright ?2016 JPCERT/CC All rights reserved. WordPress のバックアップツールといえば 6 https://japan.norton.com/wordpress-backup-6384
  • 8. Copyright ?2016 JPCERT/CC All rights reserved. BackWPup 7
  • 9. Copyright ?2016 JPCERT/CC All rights reserved. オススメの「フォルダにバックアップ」 8 https://japan.norton.com/wordpress-backup-6384
  • 10. Copyright ?2016 JPCERT/CC All rights reserved. BackWPup を試してみました 9
  • 11. Copyright ?2016 JPCERT/CC All rights reserved. バックアップの保存先 10 htdocs/wordpress/wp- content/uploads/backwpup-69f694-backups/
  • 12. Copyright ?2016 JPCERT/CC All rights reserved. バックアップファイルのパーミッション 11 バックアップフォルダは外部公開されないよう .htaccess でアクセス制御されている
  • 13. Copyright ?2016 JPCERT/CC All rights reserved.12 ほかのプラグインは ?丈夫?
  • 14. Copyright ?2016 JPCERT/CC All rights reserved.13 調べてみました! (ごく?部のみをご紹介)
  • 15. Copyright ?2016 JPCERT/CC All rights reserved.14 プラグイン名 バージョン Active Install ドキュメントルートへ保存 アクセス制御 備考 UpdraftPlus Backup/Restore 1.13.4 100万+ あり wordpress/wp-content/updraft ダウンロード不可 (.htaccess) All-in-One WP Migration 6.53 600,000+ あり wordpress/wp-content/ai1wm- backups ダウンロード可 (localhost-wordpress- 20170721-065952- 250.wpress ) ファイル名を推 測する必要があ る Backup 1.1.46 90,000+ あり wp-content/uploads/backup- guard ダウンロード不可 (.htaccess) Backup by Supsystic 2.0.11 3,000+ あり wp- content/upsupsystic/backup_201 7_07_21-09_27_09_id1.sql ダウンロード可 (.htaccess はあるものの, バックアップファイ ル .sql はアクセス制限さ れてない) ファイル名を推 測する必要あり Backup Database 4.5.4 2,000+ あり wp-content/uploads/backup- database/Jul-21-2017-95017- bak.zip ダウンロード不可 (.htaccess) BackUpWordPre ss 3.6.4 200,000+ あり wp-content/backupwordpress- 9b831433ee-backups ダウンロード不可 (.htaccess) CYAN Backup 2.3 2,000+ なし /var/folders/rp/z0kt06xn4gbcn3h h8gb8syvw0000gn/T ダウンロード不可
  • 16. Copyright ?2016 JPCERT/CC All rights reserved. まとめ バックアップファイル(バックアップツー ル)をうっかり公開していないか,いま? 度確認を! プラグインでバックアップする場合は, バックアップ先とアクセス制御を確認しま しょう 15