WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
?
0 likes?1,017 views
WordCamp Kansai 2016
![WordCamp Kansai 2016
GET /wp-content/plugins/_____
/downloadpdffile.php?fileName=../../../../../../../../../../etc/passwd HTTP/1.1
Host: [server].info
Keep-Alive: 300
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32
サーバの任意のファイルが取得可能
同様の手法で wp-config.php もダウンロードされる
実際の攻撃事例](https://image.slidesharecdn.com/wckansaiym405nmpublic-160715232300/85/WordPress-WordCamp-Kansai-2016-25-320.jpg)
![WordCamp Kansai 2016
<?php
$nonce = wp_create_nonce( 'my-nonce' );
?>
<a href='myplugin.php?do_something=some_action&_wpnonce=<?php
echo $nonce; ?>'>Do some action</a>
<?php
// このコードは行き先ページに書く。
// nonce を検証する必要がある。
$nonce = $_REQUEST['_wpnonce'];
if ( ! wp_verify_nonce( $nonce, 'my-nonce' ) ) {
// nonce が無効な場合。
die( 'Security check' );
} else {
// nonce が有効な場合。
// 目的のアクションを実行。
}
?>
Codex
関数リファレンス/wp create nonce
https://wpdocs.osdn.jp関数リファレンス/wp_create_nonce
対策コード](https://image.slidesharecdn.com/wckansaiym405nmpublic-160715232300/85/WordPress-WordCamp-Kansai-2016-30-320.jpg)
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
- 1. 松本 悦宜 @ ym405nm (加筆修正版)
- 2. WordCamp Kansai 2016 ? 自己紹介 ? WordPressのセキュリティ事象 ? 抑えておきたい攻撃パターン ? 吹き飛ばすには ~運用者編~ ? 吹き飛ばすには ~開発者編~ ? 吹き飛ばすには ~初心者編~ ? 最後に
- 4. WordCamp Kansai 2016 WordPressは脆弱性が多い ← わかる WordPressは危ない ← ええ??? WordPress使うな ← !?!?
- 6. WordCamp Kansai 2016 ? 増え続けるユーザ数 管理できないサイトが増え続けていた ? WordPressに起因するセキュリティ事件が多発 WordPressを狙った攻撃が増加した ? プラグイン / テーマの脆弱性が多数発見 深刻な脆弱性をもつ製品が多く使用されていた 別のCMSが安全という人もおりました(??ω:;.:…
- 7. WordCamp Kansai 2016 ? WordPress本体のセキュリティアップデート 発見されたセキュリティ問題を迅速に修正 自動アップデートで配信 ? セキュリティを強化するプラグインが登場 ? セキュリティ関連の情報が増加 有志のユーザやホスティング会社などによる解説サイト
- 10. WordCamp Kansai 2016 ? WordPressに対する攻撃を2年間かけて追跡 ? 攻撃の傾向を調べてみました
- 11. WordCamp Kansai 2016 ? IDパスワードに対する攻撃 ? プラグインとテーマに対する攻撃 ? サーバに対する攻撃
- 12. WordCamp Kansai 2016 ? 攻撃検出の頻度を集計結果 ? パスワードは短期間に大量のツールによる攻撃が来 ていた
- 13. WordCamp Kansai 2016 検出したパスワード攻撃の上位 20 件 11 . 1234567 12 . 123456789 13 . 123123 14 . adminpass 15 . pass 16 . abc123 17 . トップレベル付きドメイン名(小文字) 18 . test 19 . Info12345678 20 . admin1 1 . admin 2 . administrator 3 . admin123 4 . password 5 . 123456 6 . ドメイン名(小文字) 7 . 123 8 . 12345 9 . 12345678 10 . 1234
- 14. WordCamp Kansai 2016 ? 攻撃検出の頻度を集計結果 ? 攻撃が継続的に行われている
- 17. WordCamp Kansai 2016 ? 各ファイルのパーミッションの設定が不適切 但しこの場合攻撃ケースは稀 ? サーバの認証が不備にあっている SSH接続、各種アカウント ? FTPはできるだけ使わないように クライアントの脆弱性、FTPの仕様上の弱さ
- 21. WordCamp Kansai 2016 メンテナンス頻度が高いものを選ぶ 脆弱性は無いのにこしたことはないが最初から0のものは ない → 見つかった脆弱性に対し迅速に対応されているかが 重要 明らかに不要なものは削除しておく 無効にしている状態のままでは攻撃を受ける可能性がある テーマ / プラグインの選定をする
- 25. WordCamp Kansai 2016 GET /wp-content/plugins/_____ /downloadpdffile.php?fileName=../../../../../../../../../../etc/passwd HTTP/1.1 Host: [server].info Keep-Alive: 300 Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32 サーバの任意のファイルが取得可能 同様の手法で wp-config.php もダウンロードされる 実際の攻撃事例
- 26. WordCamp Kansai 2016 ? 対策 ファイルを配列などで間接的に指定する または、ディレクトリを表す記号(例:「/」、 「../」、「..?」)が来た場合はエラーを返す
- 27. WordCamp Kansai 2016 脆弱性に注意 XSS : スクリプトを埋め込まれる脆弱性 出力値にWordPressのエスケープ関数を使用する
- 28. WordCamp Kansai 2016 脆弱性に注意 SQLインジェクション : DBに不正な操作を行われる脆弱性 できるだけ文字列連結でクエリを構成するのを避ける $wpdb->query( $wpdb->prepare( "INSERT INTO $wpdb->postmeta ( post_id, meta_key, meta_value ) VALUES ( %d, %s, %s )", 10, $metakey, $metavalue ) ); Codex 関数リファレンス/wpdb Class https://wpdocs.osdn.jp/関数リファレンス/wpdb_Class 対策コード
- 29. WordCamp Kansai 2016 脆弱性に注意 CSRF : 不正なページ遷移により、なりすましをさせられる 脆弱性 nonce を使用しページ遷移を検証する ※ プラグインのconfig画面など 生成 : wp_create_nonce( $action ); 検証 : wp_verify_nonce( $nonce, $action );
- 30. WordCamp Kansai 2016 <?php $nonce = wp_create_nonce( 'my-nonce' ); ?> <a href='myplugin.php?do_something=some_action&_wpnonce=<?php echo $nonce; ?>'>Do some action</a> <?php // このコードは行き先ページに書く。 // nonce を検証する必要がある。 $nonce = $_REQUEST['_wpnonce']; if ( ! wp_verify_nonce( $nonce, 'my-nonce' ) ) { // nonce が無効な場合。 die( 'Security check' ); } else { // nonce が有効な場合。 // 目的のアクションを実行。 } ?> Codex 関数リファレンス/wp create nonce https://wpdocs.osdn.jp関数リファレンス/wp_create_nonce 対策コード
- 33. WordCamp Kansai 2016 悪い例 : adminpass 良い例 : aDm1n4ss パスワードを見直す 8文字以上、英数混合、推測されにくいもの パスワードジェネレータで生成するのもOK 意外と日本語のローマ字表記も有効?
- 36. WordCamp Kansai 2016 レンタルサーバを利用する 自分で管理する場合… iptables ? PHPのアップデート? OpenSSL ? WordPress.com WordPress専用サーバなど