OWASP Nagoya_WordPress_Handson_3
•
0 recomendaciones•415 vistas
OWASP Kansai × Nagoya『セキュアなWordPressを構築しよう!』 OWASP Nagoyaコラボ企画、セキュアなWordPressハンズオン!! ブログやWebサイトを簡単に構築できるソフトウェアとしてコンテンツ管理システム(CMS:Content Management System)が広く利用されています。 中でも無料ソフトウェアのWordPressが有名です。 気軽に利用できる反面、セキュリティを考慮せずに誤った設定で利用すると困ったことになる可能性もあります。
Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (18)
Similar a OWASP Nagoya_WordPress_Handson_3
Similar a OWASP Nagoya_WordPress_Handson_3 (20)
Más de OWASP Nagoya
Más de OWASP Nagoya (14)
OWASP Nagoya_WordPress_Handson_3
- 2. 2 もくじ① 章 タイトル 実装ガイド 番号 ページ 1 各種アカウント 4~5 2 Linux内ローカルディレクトリ配置 6~7 3 WordPress5.2.2インストール設定 4.11 4.17 4.18 4.2 4.9 8~36 4 wp-config.phpファイルの移動 4.16 37~39
- 3. 3 もくじ② 章 タイトル 実装ガイド 番号 ページ 5 wp-adminのアクセス制限 4.6 40~45 6 ブルートフォースアタック対策 4.7 46~55 7 セキュリティプラグイン設定 4.13 4.19 4.20 4.21 56~100 8 BackWpUpプラグイン設定 4.4 101~109 9 アクティビティログプラグインの設定 4.22 110~122
- 4. 4 1.各種アカウント
- 5. 5 1.各種アカウント WordPress5.0.0 WordPress5.2.2 WordPress ユーザー admin owaspkansai2019 パスワード password 「強力」判定のものを使用 する DBテーブル接頭辞 wp_ kansai_ MariaDB (MySQL) DB名 wordpress500 wordpress DBユーザー名 owaspkansai owaspkansai DBパスワード owasp06 owasp06 Linux CentOS7 ホスト 192.168.222.222 ユーザー名 owaspkansai パスワード owasp06 ハンズオン向けの設定値です。実際の運用では、鍵認証・2 要素認証・アカウント漏洩対策を行ってください
- 7. 7 2.Linux内ローカルディレクトリ配置 Linux内部パス URL ドキュメントルート /var/www/html http://192.168.222.222 WordPress本体 やプラグイン等 原本ファイルディ レクトリ 5.0.0 /home/owaspnagoya/downloadfile 5.2.2 /home/owaspnagoya/downloadfile WordPress5.0.0 /var/www/html/wordpress500 http://192.168.222.222/wordpress500 WordPress5.2.2 /var/www/html/wordpress http://192.168.222.222/wordpress ローカルの隔離環境で実施しているため、ダウンロード OVAの中に各種ファイルを準備しています
- 9. $ pwd /home/owaspkansai $ cd /home/owaspkansai/downloadfile $ sudo cp wordpress-5.2.2-ja.tar.gz /var/www/html/ 9 3.WordPress5.2.2インストール設定1 TeraTerm(Windows)やターミナル(Mac)で以下のコマンドを実行し、tar.gzを移動します ダウンロード済のwordpress-5.2.2-ja.tar.gzを利用 パスワード owasp06 を半角英数小文字で入力します ※パスワードは入力しても表示されません
- 10. 10 3.WordPress5.2.2インストール設定2 $ cd /var/www/html/ $ ls -al $ sudo tar -zxvf wordpress-5.2.2-ja.tar.gz ダウンロード済のwordpress-5.2.2-ja.tar.gzを利用 1. デイレクトリを移動します 2. コピーされたwordpressパッケージがある事を確認します 3. wordpressパッケージ展開します
- 11. 11 3.WordPress5.2.2インストール設定3 tar.gzのwordPress5.2.2パッケージを削除します $ sudo rm /var/www/html/wordpress-5.2.2-ja.tar.gz
- 13. 13 3.WordPress5.2.2インストール設定5 ディレクトリの所有者とグループをapacheに変更します $ sudo chown -R apache:apache /var/www/html/wordpress
- 26. 26 3.WordPress5.2.2インストール設定18 WordPress5.2.2 WordPress ユーザー owaspkansai201902 パスワード 「強力」判定のものを使用する インストール時の初期管理者アカウント、ユーザーID:1 を削除 以下のWordPressユーザーを管理者アカウントで追加、その後、インストール時の初期アカウント (ユーザーID:1)を削除します。adminなどブルートフォースアタックで突破されやすいユーザー名も削 除する必要があります 「ダッシュボード」⇒「ユーザー」⇒「新規追加」に進みます
- 35. 35 3.WordPress5.2.2インストール設定27 WordPressの全体SSL化① ● CentOS、Apache、Nginxなどのバージョンを確認します ● 上記に適した openssl、mod_ssl(mod24_ssl)などのインストールをします ● ファイヤーウォールのhttps(ポート443)設定をします ※ファイル、php、DB等でキャッシュを使っている場合、キャッシュ削除/停止後の作 業を推奨します 今回のハンズオンでは、Virtualboxのホストオンリーネットワークをしようしている ため、mod24_sslのインストールができません。 今回は、SSL化の作業は行いません。
- 36. 36 3.WordPress5.2.2インストール設定28 WordPressの全体SSL化② ● SSL証明証サーバーインストールと「.htaccess」「httpd.conf」「nginx.conf」等の設定をし ます ● データーベース内の 「http://独自ドメイン」 を 「https://独自ドメイン」に置き換えを行いま す ● ワードプレスファイル内の「http://独自ドメイン」 を 「https://独自ドメイン」に置き換えを行 います(キャッシュなどに注意してください) ● mixed contentのチェックと修正します(Mixed Content Checker製品版、 python,PhantomJS,npmを使う方法などいろいろあります)
- 38. 4.wp-config.phpファイルの移動1 ①wordpress用のwp-config.phpをルートディレクトリ方向へ1つ移動します $ sudo cp /var/www/html/wordpress/wp-config.php /var/www/html/wp-config.php ②元の場所にあるwp-config.phpを削除します $ sudo rm /var/www/html/wordpress/wp-config.php 38
- 39. 39 4.wp-config.phpファイルの移動2 wordpress用のwp-config.phpの所有者とグループの変更します $ sudo chown apache:apache /var/www/html/wp-config.php
- 41. 41 5.wp-adminのアクセス制限1 $ cd /etc/httpd/conf ①apache設定httpd.confファイルのディレクトリへ移動します ②念のために、デフォルトhttpd.confファイルのバックアップをとります ドキュメントルートの .htaccess を有効化 $ sudo cp -p /etc/httpd/conf/httpd.conf ./httpd.conf-back
- 42. 42 5.wp-adminのアクセス制限2 AllowOverride NoneからAllに書き換え済のhttpd.confファイルをhome/owaspkansai/downloadfile/httpd.confよりコピー して上書きします ドキュメントルートの .htaccess を有効化 $ sudo cp /home/owaspkansai/downloadfile/httpd.conf ./
- 43. 43 5.wp-adminのアクセス制限3 $ sudo systemctl restart httpd 必要に応じてパスワードを入力します httpdの再起動
- 44. 44 5.wp-adminのアクセス制限4 wp-adminの.htaccess設定 /var/www/html/wordpress/wp-admin/ に移動します $ cd /var/www/html/wordpress/wp-admin/ .htaccessファイルをコピーします $ sudo cp /home/owaspkansai/downloadfile/.htaccess ./
- 45. 45 5.wp-adminのアクセス制限5 .htaccess所有者とグループの変更します $ sudo chown apache:apache .htaccess ご参考。.htaccessの中身は以下の通りです。自己IPアドレスのみ許可を行う設定となります
- 47. 47 6.ブルートフォースアタック対策1 ● 「6.ブルートフォースアタック対策」ではGoogle Captcha(reCAPTCHA)プラグインを使 いますが、有効化を行わず、説明だけとなります ● 今回のハンズオン環境は、ホストオンリーアダプタによるローカル隔離環境です ● ダッシュボードのログアウト後の再ログイン時に外部(グーグル)との接続/認証が出来な い為、ログイン不可となってしまいます
- 48. 48 6.ブルートフォースアタック対策2 Google Captcha(reCAPTCHA)プラグインの設定 wordpressのプラグインディレクトリへ移動します $ cd /var/www/html/wordpress/wp-content/plugins ②Google Captchaプラグインを/home/downloadfile/google-captcha.1.47.zipよりコピーします $ sudo cp /home/owaspkansai/downloadfile/google-captcha.1.47.zip ./
- 49. 49 6.ブルートフォースアタック対策3 google-captcha.1.47.zipを解凍します $ sudo unzip /var/www/html/wordpress/wp-content/plugins/google-captcha.1.47.zip ②Google Captchaプラグインのzipを削除します $ sudo rm /var/www/html/wordpress/wp-content/plugins/google-captcha.1.47.zip
- 50. 50 6.ブルートフォースアタック対策4 ユーザーとグループを設定します $ sudo chown -R apache:apache /var/www/html/wordpress/wp-content/plugins/google-captcha
- 51. 51 6.ブルートフォースアタック対策5 ダッシュボードから ①「プラグイン」をクリックし ます ②「Google Captcha」の「有 効化」をクリックします ※ハンズオン環境は、ホス トオンリーアダプタであるた め、Google発行のSite Key とSecret KeyのGoogleとの 認証が出来ません Google Captchaプラグイン の設定は参考として説明し ています ① ②
- 52. 52 6.ブルートフォースアタック対策6 ①Get the API Keysより、Googleにログインし てSite KeyとSecret Keyを発行します ②「Site Key」を入力します ③「Secret Key」を入力します ④「Save Changes」をクリックします ※各種キー取得画面は次のページにて参照く ださい
- 53. 53 6.ブルートフォースアタック対策7 Get the API Keysをクリック後、Googleにログインします ①「ラベル」にサイトキーとシークレットキー発行に対して使 用する任意の名称を入力します 本資料は「OWASP Kansai Wordpress522」としています ②「reCAPTCHA V3」にチェックします ③「192.168.222.222」を入力します ※「192.168.222.222/wordpress」は入力受理されない様 になっています ④「reCAPTCHA 利用条件に同意する」をチェックします ⑤「送信」をクリックします
- 57. 57 7.セキュリティプラグイン設定1 iThemes Security (formerly Better WP Security)プラグイン 以下のコマンドにて、iThemes Securityプラグインをワードプレスに設定します $ cd /var/www/html/wordpress/wp-content/plugins $ sudo cp /home/owaspkansai/downloadfile/better-wp-security.7.4.0.zip ./ 対象ファイルの展開と削除します $ sudo unzip better-wp-security.7.4.0.zip $ sudo rm better-wp-security.7.4.0.zip
- 58. 58 7.セキュリティプラグイン設定2 プラグインディレクトリのユーザーとグループを設定します $ sudo chown -R apache:apache better-wp-security
- 59. 59 7.セキュリティプラグイン設定3 iThemes Security (formerly Better WP Security)プラグイン翻訳ファイル 以下のコマンドにて、iThemes Securityプラグインの翻訳ファイルをワードプレスに設定 ※Virtualboxのホストオンリーアダプタ ―特有の設定です。NAT相当のネットワークアダプタが使える 環境では、プラグインの有効化と同時に自動的に日本語化されています $ cd /var/www/html/wordpress/wp-content/languages/plugins $ sudo cp /home/owaspkansai/downloadfile/better-wp-security-ja.mo ./ $ sudo cp /home/owaspkansai/downloadfile/better-wp-security-ja.po ./
- 60. 60 7.セキュリティプラグイン設定4 iThemes Security (formerly Better WP Security)プラグイン翻訳ファイル 言語(翻訳)のプラグインファイルの所有者とグループを設定します $ sudo chown apache:apache better-wp-security-ja.mo $ sudo chown apache:apache better-wp-security-ja.po
- 62. 62 7.セキュリティプラグイン設定6 iThemesSecurity無料版の基本的な機能➀ セキュリティチェック DBバックアップやブルートフォース対策等、有効無効確認 グローバル設定 IPアドレスのブラックリスト /ホワイトリスト機能、 wp-config.phpや.htaccessやnginx.conf等の書込み許可 通知管理 セキュリティダイジェストなど、 Eメール通知の管理 404の検出 大量に404を発生させるユーザーのロックアウト管理 退席中モード ダッシュボードログインの時間帯制限 禁止ユーザー hackrepair.comによるブラックリスト機能の管理 データベースのバックアップ DB定期バックアップの管理
- 63. 63 7.セキュリティプラグイン設定7 ファイル変更の検出 ファイル改ざんチェック機能の管理 ファイルのパーミッション パーミッション設定値チェック ローカルのブルートフォース保護 ロックアウトや回数などログイン制限管理 ネットワーク・ブルートフォース保護 自分のWEBサイトに侵入試行してきた悪意のユーザーを 他サイトで侵入出来ないように情報共有して協力する機能 SSL SSL証明証セット後、.htaccessなどのSSL対応をプラグイ ンで実施できる機能 iThemesSecurity無料版の基本的な機能②
- 64. 64 7.セキュリティプラグイン設定8 強力なパスワードの実施 パスワードの強力判定機能を強制 システムの微調整 リクエストやクエリのフィルタリングなど各種 WordPressのソルト 認証用キーの再発行。再発行すると接続されているセッ ションが切断される WordPressの微調整 不要ヘッダの削除、テーマ /プラグイン編集XML-RPCや REST APIの無効化 iThemesSecurity無料版の基本的な機能③
- 76. 76 7.セキュリティプラグイン設定20 Notification Center (通知管理) セキュリティダイジェストメールを送信する ユーザーを選択します さきほど選択したデフォルトユーザーに送る場合 は、「Default Recipients」を選択します サイトのロックアウトが発生した場合に通知を受け 取るユーザも同様に設定します
- 78. 78 7.セキュリティプラグイン設定22 404の検出 「iThemesSecurity」のトップページで 「Notification Center」の「404の検出」の「有 効」をクリックします
- 87. 87 7.セキュリティプラグイン設定32 パーミッション確認 パーミッションの確認画面です 「ファイルのパーミッション詳細を再読み込み」 をクリック。ひと通り設定後に設定値が正しい かチェックします
- 88. 88 7.セキュリティプラグイン設定33 パーミッション確認 各種パーミッションは、左記「実装ガイドライン 4.13 Check file permissions」のDesiredをベストと考えてください テーマやプラグインなどのダッシュボード GUI設定でパーミッ ションが設定変更の支障となる場合、 Fallback(代替案)に パーミッションを変更してダッシュボード GUI設定を行い、作 業が終わり次第元に戻してください
- 94. 94 7.セキュリティプラグイン設定40 システムの微調整 以下の項目をチェックします ● システムファイルの保護 ● ディレクトリの参照を無効 ● リクエストメソッドのフィルタ ● URL内の不審なクエリ文字列をフィルタ リング
- 95. 95 7.セキュリティプラグイン設定41 システムの微調整 以下の項目をチェックします ● ファイルの書き込み権限を削除 wp-config.phpや .htaccess のパーミッション を0444にします 最後に「設定を保存」をクリックします
- 99. 99 7.セキュリティプラグイン設定45 WordPress の微調整 以下の項目にチェックします ● ファイルエディタを無効にする ● ユニークなニックネームの選択を ユーザーに強制 ● 追加ユーザーのアーカイブを無効 ● タブナビングからの保護 「設定を保存」をクリックします
- 100. 100 7.セキュリティプラグイン設定46 BBQ: Block Bad Queries (WP Edition)プラグイン ホストオンリーアダプタを使っているため、ルールファイルの取得更新が出来ません そのため、 BBQ: Block Bad Queries(WP Edition)プラグインについては、実装ガイドラインに従い紹介 のみとなります プラグインだけではなく、 WAF(Web Application Firewall)、IDS(不正侵入検知)、IPS(不正侵入防御)な どの活用も検討ください
- 102. 102 8.BackWPupプラグイン設定1 以下のコマンドにて、BackWpUpプラグインをワードプレスに設定、ユーザーとグループをApacheに変更します $ cd /var/www/html/wordpress/wp-content/plugins $ sudo cp /home/owaspkansai/downloadfile/backwpup.3.6.10.zip ./ $ sudo unzip backwpup.3.6.10.zip $ sudo rm backwpup.3.6.10.zip $ sudo chown -R apache:apache backwpup
- 103. 103 BackWpUpプラグイン翻訳ファイル 以下のコマンドにて、BackWpUpプラグインの翻訳ファイルをワードプレスに設定します ※Virtualboxのホストオンリーアダプタ ―特有の設定です。NAT相当のネットワークアダプタが使える 環境では、プラグインの有効化と同時に自動的に日本語翻訳ファイルもインストールされます 8.BackWPupプラグイン設定2 $ cd /var/www/html/wordpress/wp-content/languages/plugins $ sudo cp /home/owaspkansai/downloadfile/backwpup-ja.mo ./ $ sudo cp /home/owaspkansai/downloadfile/backwpup-ja.po ./ $ sudo chown apache:apache backwpup-ja.mo $ sudo chown apache:apache backwpup-ja.po
- 111. 111 9.アクティビティログプラグインの設定1 以下のコマンドにて、WP Security Audit Logプラグインをワードプレスに設定、ユーザーとグループをApacheに変更し ます $ cd /var/www/html/wordpress/wp-content/plugins/ $ sudo cp /home/owaspkansai/downloadfile/wp-security-audit-log.3.4.2.zip ./ $ sudo unzip wp-security-audit-log.3.4.2.zip $ sudo rm wp-security-audit-log.3.4.2.zip $ sudo chown -R apache:apache wp-security-audit-log
- 112. 112 9.アクティビティログプラグインの設定2 ①「プラグイン」をクリックします ②「WP Security Audit Log」の「有効化」をク リックします ① ②
- 113. 113 9.アクティビティログプラグインの設定3 ①「Audit Log」をクリックします ②ダイアログが表示されたら「 Yes」をクリッ クします ① ② WP Security Audit Logプラグインの設定
- 114. 114 9.アクティビティログプラグインの設定4 「Start Configuring the Plugin」をクリックし ます WP Security Audit Logプラグインの設定
- 115. 115 9.アクティビティログプラグインの設定5 ログの出力レベルを設定です。 「Geek」を選択して「Next」をクリックしま す。 WP Security Audit Logプラグインの設定
- 116. 116 9.アクティビティログプラグインの設定6 ログ保持期間の設定です。 任意の期間を選択して「 Next」をクリックし ます (左図の例は12か月) WP Security Audit Logプラグインの設定
- 117. 117 9.アクティビティログプラグインの設定7 アクティビティログのアクセス権限の設定 です。 「No」を選択して「Next」をクリックします。 WP Security Audit Logプラグインの設定
- 119. 119 9.アクティビティログプラグインの設定9 「Finish」をクリックして設定を完了しまう。 WP Security Audit Logプラグインの設定
- 120. 120 9.アクティビティログプラグインの設定10 WP Security Audit Logプラグインの設定 ウィザードで設定した内容は「 Audit Log」 の「Setting」をクリックすると確認できま す。
- 121. 121 9.アクティビティログプラグインの設定11 WP Security Audit Logプラグインの設定 「Audit Log Viewer」の「Audit Log Viewer」をクリックすると 記録したログを確認できます。
- 122. 122 9.アクティビティログプラグインの設定12 WP Security Audit Logプラグインの設定 「Audit Log Viewer」の「Audit Log Viewer」 をクリックすると、記録するイベントを設定で きます。
- 123. 123 さいごに ● ここで紹介したものは「OWASP WordPressセキュリティ実 装ガイドライン」を基にした構築方法の一例です。 ● 実際の環境や使い方にあわせて設定内容は適宜見直してく ださい。 ● そのためのヒントは「OWASP WordPressセキュリティ実装 ガイドライン」に書いてあります!