WordPressセキュリティを考える会、コワーキングスペース茅場町 Co-Edoで開催しました。

ロリポップ改ざん事件が記憶に新しいですが、その振り返りをさらっと行いました。レンタルサーバーがどこが良いのか？というのは難しい問題です。高ければ安心かというとそうとも限らないですし。もちろん、自分で VPS や専用サーバーを借りるという方法もありますが、そうするとサーバー管理に相当なリソースを割く必要が出てきます。

メインのお話は、ログインとソルトとクッキーのお話です。資料は「WordPress Security を考える会」資料です。WordPress にログインするには、wp-login.php からログインするケースが多いと思います。しかし、それだけではありません。というのも、WordPress では、ログイン状態を示すクッキーを発行しています。このクッキーを送信する端末(ブラウザ)であれば、ログインしている、と判定します。このため、いったんログインすれば、ブラウザを閉じるまでは再度ログイン作業をしなくても良いです。(「ログイン状態を保存する」をチェックすれば、14日間はログインしたままになります。)

この機能は便利なのですが、クッキーでログイン判定する場合は、wp-login.php を経由しません。ログインのログを記録するプラグイン、不正ログインをブロックするプラグインは、たいていは wp-login.php のアクセスを監視しています。このため、クッキーを利用した不正ログインは見抜けないことが多いです。

ログインクッキーには、wp-config.php に記述されているソルトが必要です。もしソルトの値がばれてしまうと、ログインクッキーを偽造される危険性が高まります。なので wp-config.php のソルトは長くて複雑な物にしましょう。

?author=1 でユーザー名がばれるのを防ぐ話、SSL の話、バックアップの話、ユニットテストの話、FTP/FTPS の話、など、ロリポップ事件とは直接関係ない話題も取り上げました。

来月の中頃に、また開催したいと思います。ロリポップ事件にこだわらず、WordPress セキュリティに関する題材を取り上げて議論したいと思います。

セキュリティは、ブログに書けない内容もあります。詳しく知りたい方はプラグイン診断をご利用ください。

※続編のお知らせ
10/14「WordPress Security を考える会 第二回」をコワーキングスペースCoedo(東京メトロ茅場町)で開催します。
10/26「WordPress Security を考える会 第三回」をニューキャストセミナールーム(名古屋市営地下鉄千種駅)で開催します。