少し久しぶりのOWASP Kansai参戦です。
https://owasp-kansai.doorkeeper.jp/events/96274
直近2回は裏番組がモロ被りしていて、気づいたら10ヶ月ご無沙汰でした。

今回は題名の通り、セキュアなWordPressをハンズオンで作ります。
過去にOWASP Nagoyaで行われたそうで、それの関西版。
講師の方が名古屋から出張です。

私自身は、WordPressはほかのセキュリティイベントのネタとして
見かけはしたけど、まじめに触ったことはありません。
メジャーな製品でどこかでお目にかかるかもしれないので、
これを機会に、できる限り押さえておきたいところです。

事前にVirtualBoxで環境構築の説明資料が公開されており、
それを実施していることが前提で進みます。
Twitterまとめは、そのうちどこかから出てくる・・・ハズ。
＃は自分の感想。

（１）OWASP Kansaiの紹介
いつもの紹介文。
Open：みんなの力で
Web：ウェブで
Application：できたもんの
Security：セキュリティを
Project：何とかする活動

（２）アイスブレイク
机2個のグループに分かれて自己紹介

（３）OWASP Nagoyaの紹介
名古屋は神戸から電車で3駅^^;

（４）OWASP WordPress セキュリティ実装ガイドラインの紹介
https://www.owasp.org/index.php/OWASP_Wordpress_Security_Implementation_Guideline
https://www.slideshare.net/owaspnagoya/owasp-wordpress-wordpress
日本語版は近いうちに最新情報にアップデートされて公開されるとのこと。

（５）セキュアなWordPressの構築ハンズオン
CMS系のシェアとしては、WordPressはダントツ。その分、狙われやすい。
（脆弱性の公開状況紹介されてたけど、WP運用する人って大変そう・・・）

サイト改ざん攻撃のデモやWPScanの紹介を挟んで、実際にハンズオン。
WP構築は基本的にインターネットに繋がっていることが前提のようで、
ネットに繋がってない環境では、いろいろと制約が多そう。
（実際、割愛せざるをえない手順があった）

セキュリティ実装ガイドラインは、あくまでもOWASPが公開しているおすすめの指針である。
＃実際には運用要件とバランスを取りながら、どれを採用するかという判断が入る
（アプリからインフラまで、かなりの設計力が求められそう・・・）。
＃設計内容の実装は、WPScan、プラットフォームやWebアプリ診断ツール等で
＃テストしながら進めるイメージかな。

（６）質疑応答：拾えた分だけ
・WPScanについて、もう少し知りたい
歴史のあるツールだが、WPのプラグイン版として出たのは最近。
サイト改ざんデモのWPScanはWP4.7.0と4.7.1の攻撃をした。

・WPScanはバージョンの脆弱性を検出するものと思える。WPの設定内容を診断する術はないか？
WPの管理画面でのUIを見るか、診断業者に頼むことになりそう。
ちなみに、WPScanに近いことはVulsでも対応したとのこと。
https://twitter.com/vuls_ja/status/1115235198071738369

・iThemesSecurityの禁止ユーザーの設定を外したら（※）WAFが必須になると思ってよい？
WPの使い方次第だが、入れた方がよい。
（※）この設定が有効になるとGoogleのインデックス順位が下がる可能性がある

・サイトロックアウトの設定（IPのホワイトリスト）は本当に必要か？
運用要件次第。