新しいブログに引っ越しました

tomotomoSnippetは新しいブログに移動しました
https://develtips.com/

2014-06-15

安全にWordPressを使う 誰でもできるセキュリティ&バックアップ #wckansai フォローアップ記事

2014年6月7日(土)・8日(日)、大阪で開催された「WordCamp Kansai 2014」での担当セッション「安全にWordPressを使う 誰でもできるセキュリティ&バックアップ」について、スライドシェアとフォローアップの記事です。

セッションの様子

195名が入る部屋でのセッション。

統計情報をインフォグラフィックでわかりやすく表現。

作ってくれたのははざくみさんです。
実は、参加するまではざくみさんのセッションだと期待していた人が多かったのでは?はざくみさんが登場すると思いきやアラサー男子が出てきてすいません、すいません。


スライドシェア




インフォグラフィック


スライドに利用しているインフォグラフィックは、はざくみさんが作成してくれました。
GPLライセンスでGitHub上に公開していますので、使いたい方はダウンロードしてく使ってください。
http://git.io/wck2014graph


フォローアップ

今回は初心者向けということで、これさえ実践してくれれば、最低限のセキュリティ&バックアップが出来るよ、という内容に限定させてもらいました。
セキュリティを高めるには、様々なこと(インフラ、コード、運営、書類管理などなど)を考慮する必要があり、話しだすとそれこそ45分に収まりきらないです。

なので、話した内容には例外がたくさんあります。

自分のブログ上なので、その例外のフォローアップを少ししたいと思います。



まずBackWPup、当日は使っちゃダメと言いましたが、実はちゃんと理解すれば使っても大丈夫です。
uploads内にバックアップフォルダを作成するわけですが、最新版では、index.phpを作成してGoogleに見つかりにくくしています。中身はこんな感じ。

<?php
header( $_SERVER['SERVER_PROTOCOL'] . ' 404 Not Found' );
header( 'Status: 404 Not Found' );

必ず404エラーを返すようにしています。最新版を使えば、ちょっとマシです。でも、ブラウザからアクセスしてデータベースのデータをダウンロード出来る状況には変わりないのでおすすめしません。

設定ではS3にアップしたり、ブラウザからアクセス出来ない領域にバックアップを取ることもできます。ただ、プログラムやインフラを理解できる人たちでないと、ちょっとむずかしいと思い、セッションでは紹介しませんでした。


次に、パスワード暗号化。セッションではmd5とsha1を紹介しましたが(多分覚えてない人が多いと思う)、バージョン2.5以降はphpassを使っているようです。今回のセッション資料を作る時に調べていて、初めて知りました。
第40回 MOPS:安全性の高いパスワードハッシュ作成ツール - phpass

今回、WordCampの登壇者として貴重な経験をしましたが、セッション内容を一緒に考えてくれたコンテンツチームの皆さんありがとうございました。ハッキングの事例を提供していただいたファーストサーバさん、ありがとうございました。素敵なフィンフォグラフィックを作ってくれたはざくみさん、ありがとうございました。
当日、WordCamp Kansaiに参加してくれた皆さんありがとうございました!




また機会があれば、どこかで登壇したいと思っていますが、今はネタが無いです。。。

0 件のコメント:

コメントを投稿

人気のエントリー