2026年1月24日土曜日

【神戸元町】Kansai WordPress Meetup@神戸 「ログイン周りのセキュリティ」について考える会 + 続「WordPressの知恵袋」をみんなで作ろうの会」に参加して #WMKansai #WMOsaka

WordCamp Kansai 2024 への参加で、三ノ宮に訪れてから2年ぶりに三ノ宮(JR)にきました。

今回は、元町にある コワーキングスペース DEP. が会場です。
せっかくなので3時間ほど早めにきて、北野天満神社や生田神社を観光してきました。その様子は、末尾に紹介しています。さて今回は、ログイン周りのセキュリティということでかなりの人数が参加されていました。



プログラム:https://www.meetup.com/ja-jp/kansai-wordpress-meetup/events/312780297/?eventOrigin=group_upcoming_events

WordPress に関する説明(パブリッシングの民主化などなど)、そして自己紹介のあと、2つのセッションあり。

自己紹介で皆さんの参加理由がいろいろあって面白い

  • クラウド認証を使えるようになってみたい
  • 統合型セキュリティプラグインをどのようなものをつかっているのか
  • 不正アクセスされた経験があるので、勉強したい
  • ログイン系についてよくわからないので学びたい
  • 台湾きた。日本語でどのように皆が WordPress を学んでいるのか知りたい。あるいは勉強したい。
  • ブルートフォースアタックに関して、どの程度のパラメーター調整がよいのか知りたい

「ログイン周りのセキュリティ」について考える会 


自己紹介の中で質疑応答


1. バックアップしたデータが大量にあるが、どこまで残すべきか

どこまで戻さないといけないのかが大事である。

2. 不正アクセスされたらどうしたらいいのか

不正アクセスのレベルによる。
WordPress のログインなのか、FTPのアクセスなのか、サーバーの管理画面へのログインなのか。FTPやサーバー管理画面のログインの場合には、何でもされているかもしれない。

3. シングルサインオンはどうしたらいいか

Login for Google Apps プラグイン(旧名 Google Apps Login)や Google Site Kids プラグインのオプションとして Google認証がある。

*Login for Google Appsの設定方法は、下記がわかりやすいと思います。

WordPress管理画面にGoogleアカウントでログインをできるようにする方法 |
https://weblabo.oscasierra.net/wordpress-google-apps-login/

あるいは、筆者がかなり前に WordPress Meetup でハンズオンした資料も参考にできるかと思います。

第69回 WordBench大阪 WordPress ログインに Google 認証を使ってみよう! - connpass (2017年10月)
https://wbosaka.connpass.com/event/67880/

そうした物を使う。さらにログイン画面にIPアドレス制限ができるなら、望ましい。

それが無理なら、自社ネットワークのみ IPアドレス制限をして、それ以外はBASIC認証でまずログインページを制限した上で、Google認証などをつかうとセキュリティがかなり高まる。

4. ゼロトラストセキュリティ - CloudFlare によるアクセス制限をする

#この記事をかいていて、聞き飛ばしてしまったのでこれかどうかはわからない。とりあえず関連しそうなデータをのせておく。

サイトや特定のURLに対して指定したIPアドレスを許可しそれ以外をブロックするゾーンロックダウン | Cloudflare(クラウドフレア)代理店 株式会社ドーモ Cloudflare導入実績 国内NO.1パートナー

https://cloudflare.domore.co.jp/knowledge/accessed-from-specified-ipaddress/

# ログインへのアクセスに、2要素認証的なものが必要、セッションが切れる時間を短くするなどログインをかなり困難にする手法とのこと。実際の運用は、一律適用ではなく社内ネットワークや、特定ユーザーやデバイス等でそれらのセキュリティを緩和や除外するなど、調整が必要。またこれらの設定を管理している管理者がログインできなくなる事故が起こった時に、復旧できる手段をもっておく必要あり(そうしたことを普段からテストしておく必要あり)

5. セキュリティプラグイン SiteGuard WP Plugin はどうですか

ブルートフォースでブロックする頻度が高すぎると、誰かのミスで困ることになる

6. 複雑な攻撃があったらどうするのか

国内IP制限をしていても、国内からの不正アクセスが最近増えているのではないか。
→とはいえ攻撃の母数を減らすことはできるで意味はある。ただし国内IP制限を個人でするのはIPアドレスの範囲を更新していくのが面倒すぎる。そこはレンタルサーバーなど利用するサーバー側でそうしたサービスを提供しているものを選択するほうがいいでしょう

*歓談タイムで、Xサーバーを使っている人がいるので、WAFを有効にするという手法も紹介しておいた。Xサーバーではいくつかのカテゴリーにわけた有効化ができる。WAFを有効にすると、WordPress の記事等の保存を阻害される可能性があるので、そのあたりはチェックする必要あり。


ログイン画面のセキュリティ


パスワードについては、15桁以上のパスワードを使ってほしい

パスワード15桁以上の根拠

*NIST・アメリカ国立標準技術研究所の新パスワードのガイドライン
 参考:NIST の最新ガイドラインに見る「認証とパスワード」の新常識(cybertrust)


1. 入口を減らす

物理的な到達を拒否する

IP制限

最もシンプルで強力
https://www.myip.com/ などで自分のアクセスするIPアドレスを調べる。

ただし IPアドレスは動的であることに注意

#IPアドレスから利用しているネットワークのある程度の範囲を調べることも利便性は高い
国内なら、JPNICのIPアドレス調査が使える
https://www.nic.ad.jp/ja/whois/ja-gateway.html

BASIC認証

パスワードで制限する
admin-ajax.php を除外する必要があるなど、設定が複雑

こちらについては BASIC認証やサーバーへのログインができる技術者がやるべきところ。

/wp-admin と /wp-login.php の2つに制限を掛ける必要がある。
かつ /wp-admin/admin-ajax.php はBASIC認証対象外にする必要がある

こうした複雑なことが難しいなら、WAF(Web Application Firewall)という機能がサーバー上で用意されていると、ある程度ブラックリストIPアドレスをブロックしたり、不正はURLアクセスなどをブロックしてくれる可能性が高い。ただし場合によっては WordPress の編集を阻害して保存できなくなる可能性がある。 WAFを使うなら、WAFをオンにして WordPress 上で編集して保存できるか確認する必要がある。

URLを変えてログインを守る(非推奨)

プラグインで変更すると、URLを忘れると、どうしていいかわからない状態になる可能性がある。.htaccess を書き換えるタイプだと、それをもとに戻す知識が必要。そうでなく別PHPファイルで操作するのなら、そこがセキュリティ脆弱性につながる問題もある。

.htaccess は Apache というWebサーバーシステムを使っている限定となる。
nginx だと使えない点に注意

xmlrpc.php 廃止

これを通じて他のアプリから WordPress を制御するツール。以前は設定で無効化できたら、現在はできなくなっている。

Disable XML RPC などのプラグインで止めるほうが簡単。

*もちろん、サイト構成でこの機能を使っている場合には注意

2. 突破を難しくする

2段階認証を使ってみる。

Two-Factor プラグインの場合
ワンタイムパスワードをメールで送信する、認証システムアプリ、パスキー、バックアップコード等

WordPress の管理画面にある

ユーザー > ***ユーザー > プロフィール

でいろいろ設定できる。

もし2段階認証のコード入手方法を失ったら、サーバーへFTP接続できるなら、two-factor プラグインをなくしてしまう(名前変更すると無効になる)。ということをする最終手段はある。

機械的な攻撃を無効化する

ログインに関する総当たり攻撃を防ぐ。
大量のログイン試行を制限することで、サーバーの負荷を減らし、不正アクセスを減らすことができる。

3. 被害を小さくする

侵入されても、適切な権限設定をしておくことで被害を少なくする。
たとえば最高権限である「管理者」だと何でも出来てしまうが、「編集者」権限だとユーザーを追加させることはない。

4. 検知して止める

SiteGuard WP Plugin や Wordfence Security など複数があるが、利用するならどれか1つにしておくことが大事。それぞれの制限が競合してしまう可能性がある

WordPress をインストールしたばかりで攻撃されるケースがある

SSL証明書を取得した情報を監視しておいて、それが取得された段階で WordPress がこれからインストールされるかもしれないと考えて、ユーザーが WordPress をインストール中に攻撃をする手法もあるらしい。

たとえば、インフラエンジニアが WordPress をインストールしただけの状態で、あとはよおろしく!と WordPress をセットアップする人に依頼する。こうした場合には、タイムラグが生じてしまう。そこを狙ってまだセキュリティ設定をしていない WordPress に攻撃をしかけるということ。

歓談タイム

Xサーバーを使っている方がいたので、下記のWAFが有効かどうか確認したほうがよいとアドバイス。ただしWAFをオンにして、WordPress のコンテンツ保存がブロックされてしまうケースがあるので、そこは確認が必要

WAF設定 | レンタルサーバーならエックスサーバーhttps://www.xserver.ne.jp/manual/man_server_waf.php

下記も興味がある。

URLを登録するだけで毎日自動でセキュリティ診断!『XServer サイトセキュリティ』の提供を開始
https://www.xserver.co.jp/news/news-article.php?id=121


続「WordPressの知恵袋」をみんなで作ろうの会


WP知恵袋
https://wp-chiebukuro.org/ (まだ非公開)

質問者が記事を書いて、聞いたことを書く。
聞いたことを忘れたら、周りに聞いて書く

そうした運用できれば、同じ質問があった時に役立つ

質問した人が書くと、質問者の理解が深まるはず。
より多くの情報や網羅的なものは誰かがフォローすればいいはず

続々と皆さん質問した内容と理解した内容を書き出している!(まだ非公開)
筆者はそれにたいして、いくつか「コメント」をいれました。最初、記事にコメントがついてもわからなかったので、「コメントついたらわかるようにしてほしいなー」といったら、作ってくださいました!



懇親会への道すがら


以前、「WordPress のコアなどセキュリティ的なスキャンをするツールを筆者が WordPress Meetup なんかで発表してなかった?」「そのツールはまだ使えるかな?」という質問を受けました。

そういえばあったような?でも忘れたなぁと思ってはいたのですが、さすが筆者、すべての発表や参加したときの様子はブログに書いていたのでした。WordPress関連だと、下記にまとめていました。

https://kitaney-wordpress.blogspot.com/p/blog-page.html

そして発見!

2015/06/13 セッション2「WordPressのリスク管理」(第42回 WordBench大阪)

と今から 11年前かぁ。
そのスライド「WordPressとリスク管理 at 第42回 WordBench大阪」(slideshare)のP36に、Exploit Scanner という WordPressシステム改ざんチェックというのを紹介してましたね。

Exploit Scanner

残念ながら、こちらは8年前に開発が止まっているようです。

このスキャナーは、当時下記のようにチェックしてくれたのでした。

WordPressサイトが改ざんされていないかチェックできるプラグイン「Exploit Scanner」 | TechMemo
https://techmemo.biz/wordpress/exploit-scanner/

下記をみると WordPress 4.9.8 までは対応していたようですね。

https://github.com/philipjohn/exploit-scanner-hashes

やっていることは、WordPress コアファイルの md5 をあらかじめ上記 GitHUBにあるツールをつかって作成しておいて、それと比べるという感じですね。いまでも hashes-***.php を生成すれば使えそうな気はしますね。


いま使えるものはあるのか


Wordfence Security – Firewall, Malware Scan, and Login Security プラグインがオススメの1つです。

https://ja.wordpress.org/plugins/wordfence/FAQにある「Wordfence Security Scaner はどのようなチェックを実行しますか」にたいして、「コア、テーマ、プラグインのすべてのファイルをスキャニングし、WordPress.org のレポジトリの同じバージョンとの同一性を確認し、ソースコードのセキュリティーを確認します。」とありますから、コアファイルの正当性をチェックしてくれます。

さらにスケジュールチェックもできて、かつ投稿や固定ページ内の URLなども怪しいものがあれば指摘してくれます。

筆者が導入している一番の理由な、WAFを実装していることです。
WAFの細かい設定ができないサーバーをつかっていると、WAFを有効にすると WordPress の記事が更新できない場合があります。そうした場合に、こちらのWAFを有効にすることで代替にもなります。

無料版は30日遅れの定義ファイルというデメリットはありますが、それでもかなり有用だと感じています。導入には無料ですがアカウント登録が必要など、多少のクセはありますがセットアップ方法はインターネット上で詳しく解説しているところは多数あるので、困ることはないでしょう。

ただこの手の統合型セキュリティプラグインは、複数いれると同じことをすることになるので無駄あるいは競合しておかしくなる可能性があります。統合型セキュリティ型セキュリティプラグインはどれか1つだけにしておくことが良いかと思います。


懇親会(中華食堂 豊味園



今回訪れたのは、中華食堂。10名ぐらいでしたね。


沢山食べた気がします。出てきた料理は下記がすべて。
ただし唐揚げと餃子3人前は1度おかわりしました。




観光


14時スタートのため、11時ぐらいに訪れて北野天満神社や生田神社などを巡ってきました。


北野天満神社



JR三ノ宮駅から、北野坂を通って向かいました。

最初は緩やかな坂だなと思っていたら、後半はかなりきつい坂でした。
こう配 8% と書かれてました...



神社にいく途中に、「コルネット吹きの休日」黒川晃彦、萌黄の館などもあり。


神社からの見晴らしはよかったですね。
御朱印も、もらってきました!


その後、天神坂をおりていったのですが、奇妙なアトリエを発見。


それを横目に、神戸北野異人館街へ。特に見て回ることはせずに、行きたかった昼食場所へ。

わた半(昼食)




高級和食店ですが、2400円のランチメニュー「すき焼き牛丼」に惹かれていってきました。
期待通り、美味しかったです!

生田神社




WordCamp Kansai 2024のときに訪れて以来、2度目。前回は正面だけでしたが、今回は東門から入ったので、いろいろ見て回りました。水おみくじは、私自身はしませんでしたが見ていて楽しかったです。


境内は広くて、景色もいいですね!

お土産(ケーニヒスクローネ 坂の上店




神戸限定のこくまのサブレ、壺入りはちみつアルテナ、バターパイなどを購入。


早速自宅に帰って、お土産を広げて、壺入りはちみつアルテナを開けると...


梅干しの壺!?という感じですね。



栗が沢山はいっているアルテナは妻のお気に入り(買ってこいコールがありました...)。
妻と美味しくいただきました!

観光時間は3時間程度であり、実際には2時間半ぐらいでしたが、割と色々いけたなーという感じでした。

2026年1月24日 @kimipoh
投稿者 時刻: 0 件のコメント:
ラベル: ,

2025年11月2日日曜日

WordCamp Kansai 2025 セッションデイ(2日目)に参加して #wckansai2025 #WordPress #WordCamp

WordCamp Kansai 2025の2日目は、セッションデイです。昨日のコントリビューターデイについては下記のブログを参考にしてみてください。

    今年のわぷーの名前は「わぷーファイブ」。5人のわぷーがそれぞれの役割をこなしつつ、「つながる」ことで出会いと創造をもつというのが、今回の WordCamp Kansai 2025 のテーマです。


     閉会式の写真撮影

    開会式 


    さて今回は、実行委員(広報)として参加し、主に X を担当していました。
    当日のライブ配信:https://kansai.wordcamp.org/2025/youtube-live-stream/
    配信アーカイブは、編集されて WordPress TV に後日配信されることになるはずです。
    開会式の実行委員紹介(31名)。 皆さん、それぞれいろいろな役割を担って活動してきました!

     会場入口と受付の様子

    アクティビティトラックエリア


    こちらはスポンサーブースと各種アクティブティが詰まったエリアです!
    開会式前からかなり賑わっていました。


    ガチャガチャは開始早々、当たった方もいました!

    スタンプラリーは最後の1つがなかなか見つかりませんでした。
    部屋の奥の角の部分にあったのですね。



    隠されたお宝を探せ!


    見つけたよ!というツイートをいくつか発見したので掲載しておきます。

    スポンサーブースツアー


    とても大勢の人がツアーに参加してスポンサーブースもかなり賑わっていました!


    お茶会スペース 純喫茶わぷ~



    こちらも席がかなり埋まっていました。いろいろ歓談されていたようですね!
    その他クイズ大会など、盛りだくさんのアクティブティがありました!

    以下、筆者が話をきいてメモした備忘録です。そのため、必ずしも登壇者の意図した内容になっていない可能性もあります。その点ご留意ください。# を先頭にいれた場合には、筆者のコメントです。

    過去にホームページ制作を依頼していたわたしが、独学でWordPressを始めてホームページ制作を仕事にするまで




     ChatGPT等生成AIの利用してサイトの制作効率をあげていたものの、WordPress のより詳しいことを知りたいとおもって、 WordPress Meetup(神戸)に参加。などなど、どのように WordPress とか変わってきたのか、ご自身の体験を語っておられました。

    和訳から始めませんか?



     WordPress の翻訳プロジェクトに関する紹介! 翻訳の重要性、どのようなプロセスでしているのかなどを語っておられました。私自身も翻訳は昨日のコントリビューターデイでもコントリビュートしました!

    データベース構造から改めてWordPressを考える




    ブロックエディタやブロックテーマなど編集機能は大きく変わってきたがデータの保存する仕組みはあまり変わっていないのではないか。そこをテーマに考えてみたいということ。

    WordPress は 12のテーブルにわけてデータを保存。投稿等を保存されるテーブル wp_posts に注目したい。

    とりあえず書いておいて、固定ページにする、投稿にするということはできない
    *固定ページで新規作成、投稿で新規作成など、それぞれで新規作成する必要あり

    長期保存に関して質疑応答あり。印刷して残すというのも意味がある。なぜなら究極的にすべてのデジタル情報を失う事件等が起こってしまった場合、印刷された活字から復旧することが可能なため。その必要があるかはケースバイケース。ただ、データを高速に保存する方向だけではなく、長期保存の必要性について、会場での質疑応答で質問者の関心を得ていた。

    Security 2.0: How AI Is Redefining the WordPress Threat Landscapeセキュリティ2.0:AIがWordPressの脅威環境をどのように再定義しているか



    会場にいくつかの選択肢がある質問を投げかけ。
    3つの人物をみせて、どれが本物でしょうというもの。答えはすべて偽(AIで生成)。
    #AIで生成したものとわからないですね。

    脆弱性に関してLLMを使う場合、誤検出やハルシネーションが起こることもある。そのためにダブルチェックやクロスチェックが必要。

    下記の様な問題があるので気をつける必要があるということ(2023年の話)。

    LLM を活用するためには、気をつけながらも使ってみないことには始まらない。使っていく中で知見を蓄積していく必要があるということ。

    WordPress で稼ぐな、WordPress を「使って」稼げ



    広報チームリーダー(実行委員)のつぶさん。
    #一部しか聞けていませんでしたが、「WordPress をインストールしたら、儲かる」など、「手段が目的化してしまっていないか」「WordPress に頼り切っていないか」というお話はさすがだなと思いました。

    LT(ライトニングトーク)


    WordPress テーマのテスト可能設計

    知らないでは済まされない医療機関サイトの新しい掲載義務要件と制作者の責任


    とってもレガシーなテーマ開発をしていた私が、初めての公式テーマと有料テーマ開発を通して学んだWebサイト更新担当者の気持ち



    閉会式

    今回、5名の実行委員長が互いに協力してリードしてきた WordCamp。ようやく閉会式となりました。また閉会式では、すこし WordPress Meetup の活動についても触れていました。筆者(広報チーム・実行委員会)は、その後のアフターパーティの最中に、WordCamp Kansai 2025 のサイトにおいて下記の記事を公開しました。こちらにも間近に予定されている全国の WordPress Meetup の予定を掲載しています。今回 WordCamp に参加して、WordPress のことをもっと知ってみたい、関わってみたいと思ったなら、WordPress Meetup にも足を伸ばしてみてください。
    また、イベントは体験したことをブログに書くまで終わりません!という格言!?があるように、是非体験したことをブログにかいて、X にて #wckansai2025 をつけて「ブログをかいた」ことをツイートしてください。私の方でそれを拾って、後日まとめ記事を作成する予定です!




    アフターパーティ



    会場は、1日目の コントリビューターデイの会場である、Blooming Camp by さくらインターネット でした。見て分かる通り、もう大勢の方々が詰めかけて、大盛りあがりでした。たくさんの人達と話すことができました。

    アフターパーティ参加時に渡されたチケットをもって、Blooming Kitchen にいくと、いくつかの選択肢の範囲内ですが、お酒を振る舞ってくださいました(ハイボールを飲みました)。



    さて、最後に実行委員から、実行委員長達(5名)にサプライズプレゼントです!




    下記は、わぷーファイブのトランプ!このために専用に制作されたので、世界でここだけしかありません!


    そんなこんなで、アフターパーティも終わったのでした!

    2025年11月2日 @kimipooh

    投稿者 時刻: 0 件のコメント:
    ラベル:
    登録: コメント (Atom)