少し久しぶりのOWASP Kansai参戦です。
https://owasp-kansai.doorkeeper.jp/events/96274
直近2回は裏番組がモロ被りしていて、気づいたら10ヶ月ご無沙汰でした。
今回は題名の通り、セキュアなWordPressをハンズオンで作ります。
過去にOWASP Nagoyaで行われたそうで、それの関西版。
講師の方が名古屋から出張です。
私自身は、WordPressはほかのセキュリティイベントのネタとして
見かけはしたけど、まじめに触ったことはありません。
メジャーな製品でどこかでお目にかかるかもしれないので、
これを機会に、できる限り押さえておきたいところです。
事前にVirtualBoxで環境構築の説明資料が公開されており、
それを実施していることが前提で進みます。
Twitterまとめは、そのうちどこかから出てくる・・・ハズ。
#は自分の感想。
(1)OWASP Kansaiの紹介
いつもの紹介文。
Open:みんなの力で
Web:ウェブで
Application:できたもんの
Security:セキュリティを
Project:何とかする活動
(2)アイスブレイク
机2個のグループに分かれて自己紹介
(3)OWASP Nagoyaの紹介
名古屋は神戸から電車で3駅^^;
(4)OWASP WordPress セキュリティ実装ガイドラインの紹介
https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline
https://www.slideshare.net/owaspnagoya/owasp-wordpress-wordpress
日本語版は近いうちに最新情報にアップデートされて公開されるとのこと。
(5)セキュアなWordPressの構築ハンズオン
CMS系のシェアとしては、WordPressはダントツ。その分、狙われやすい。
(脆弱性の公開状況紹介されてたけど、WP運用する人って大変そう・・・)
サイト改ざん攻撃のデモやWPScanの紹介を挟んで、実際にハンズオン。
WP構築は基本的にインターネットに繋がっていることが前提のようで、
ネットに繋がってない環境では、いろいろと制約が多そう。
(実際、割愛せざるをえない手順があった)
セキュリティ実装ガイドラインは、あくまでもOWASPが公開しているおすすめの指針である。
#実際には運用要件とバランスを取りながら、どれを採用するかという判断が入る
(アプリからインフラまで、かなりの設計力が求められそう・・・)。
#設計内容の実装は、WPScan、プラットフォームやWebアプリ診断ツール等で
#テストしながら進めるイメージかな。
(6)質疑応答:拾えた分だけ
・WPScanについて、もう少し知りたい
歴史のあるツールだが、WPのプラグイン版として出たのは最近。
サイト改ざんデモのWPScanはWP4.7.0と4.7.1の攻撃をした。
・WPScanはバージョンの脆弱性を検出するものと思える。WPの設定内容を診断する術はないか?
WPの管理画面でのUIを見るか、診断業者に頼むことになりそう。
ちなみに、WPScanに近いことはVulsでも対応したとのこと。
https://twitter.com/vuls_ja/status/1115235198071738369
・iThemesSecurityの禁止ユーザーの設定を外したら(※)WAFが必須になると思ってよい?
WPの使い方次第だが、入れた方がよい。
(※)この設定が有効になるとGoogleのインデックス順位が下がる可能性がある
・サイトロックアウトの設定(IPのホワイトリスト)は本当に必要か?
運用要件次第。
