TOP /  セキュリティ/認証 /  WordPressサイトを常時SSL化する方法と、常時SSL化による新たな脆弱性問題

WordPressサイトを常時SSL化する方法と、常時SSL化による新たな脆弱性問題 | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

WordPressサイトを常時SSL化する方法と、常時SSL化による新たな脆弱性問題  (株式会社オープンソース活用研究所 寺田 雄一)

クライアント証明書による回避方法と、「Powered BLUE 870 Webアプライアンス」の紹介  (株式会社ムービット 谷地田 工)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.4 でした!(5点満点中)
セミナー名 WordPressサイトを常時SSL化する方法と、常時SSL化による新たな脆弱性問題
講演企業 株式会社オープンソース活用研究所 、株式会社ムービット
開催日 2018年06月05日
匿名の参加者
コメントなし
その他のサービス業 50代 男性 の参加者
勉強になりました。ありがとうございました。 どちらかと云えば企業向けITですね。当社には少し遠いテーマでした。
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
WordPressを常時SSL化する手順が面倒だが可能であることがわかり良かった。
その他の業種 30代 女性 の参加者
コメントなし
(株)ムトウ 鹿島 慶子さん
最近、会社がK5オラクルクラウドを使用していることを知り、今回クライアント証明も簡単に発効出来ることを知り、有意義でした。
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
コメントなし
消費者に対してITを提供する企業(Webサービス、ゲームなど) 30代 男性 の参加者
常時SSl化の必要性や流れ(フロー)を理解することができたため、後半の説明もしっかり理解でき満足しました。
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
常時SSL化の脆弱性についてとあったが、その部分は薄めで残念
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
クラウドでの運用についても触れて頂いたのが良かったです。 「一人情シス」の紹介も良かったです。
製造業 40代 男性 の参加者
SSL化の必要性や設定については理解できましたが、新たな脆弱性について、もう少し詳しく説明してほしかったです。
消費者に対してITを提供する企業(Webサービス、ゲームなど) 30代 男性 の参加者
コメントなし
製造業 30代 男性 の参加者
コメントなし
医療業・福祉業 30代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
・SSL化の関する情報がupdateできた ・クライアント証明書はとりあえず今はナシ
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし

WordPressサイトを常時
SSL化する方法と、
常時SSL化による
新たな脆弱性問題
マジセミ株式会社
チーフセミナープロデューサー兼CEO
寺田雄一
Copyright Open Source Innovation Labs Ltd. All right reserved.
オープニング
Copyright Open Source Innovation Labs Ltd. All right reserved.
2/24
代表取締役所長
寺田雄一のプロフィール
寺田雄一
(てらだゆういち
/yuichi terada)
1969年8月21日生
まれ 48才
・2003年、野村総合研究所に大手で日本初のOSS専門組織オープンソース・ソリューションセンターを設立。
・2006年、オープンソース・ワンストップサービス「OpenStandia(オープンスタンディア)」事業を創業。
・2013年まで野村総合研究所において、オープンソース事業の責任者を務める。
・オープンソースビジネス推進協議会(OBCI)、OpenAMコンソーシアムを設立(発起人)。
同会の理事、会長や、NPO法人日本ADempiereの会の理事などを歴任。
・情報サービス産業白書2012年版~2015年版「オープンソースソフトウェアの動向」執筆を担当。
・「エンジニアの楽園」を目指し「開発合宿(ハッカソン)」などをプロデュースする活動も行う。
・2013年、IT業界の構造改革を実現するため、野村総合研究所を退社し、
株式会社オープンソース活用研究所を設立。
・著書に、オープンソースビジネスを解説した「オープンソースがよ~くわかる本(秀和システム)」
Copyright Open Source Innovation Labs Ltd. All right reserved.
3/24
常時SSL化とは
ウェブサイト内のログイン
ページやフォームなど特
定のページだけでなく、そ
の他すべてのページを
SSL/TLS化すること。
Copyright Open Source Innovation Labs Ltd. All right reserved.
4/24
なぜ、常時SSL化?
Webサイトの Webサイトの実在証明をした上で証明
なりすまし防止 書を発行する「企業認証SSL」など
Cookieや他の パスワードだけではなく、Cookieなど
データの盗聴 HTTP通信時にも、機密データが流れて
いる
暗号化されて 公共のWiFiや、カフェのWiFiなどは、暗
いないWiFi通信 号化されていないケースが多く、盗聴さ
れたり、偽装されたりする
Copyright Open Source Innovation Labs Ltd. All right reserved.
5/24
検索順位の決定要因に
Googleは、2014年8月に、ウェ
ブサイトがHTTPS(常時SSL)か
どうかを検索順位の決定要因
にすることを発表、HTTPから
HTTPSへの切り替えを推奨
Copyright Open Source Innovation Labs Ltd. All right reserved.
6/24
「HTTPサイトは安全でない」
と主要ブラウザが警告強化
Google
Chrome
2017年1月リリースのバージョン56より、
パスワードやクレジットカード情報を送信
するHTTP接続(非SSL/TLS)ページに対し、
アドレスバーの左に「保護されていない
通信」と表示する仕組みを導入
2017年10月リリースのバージョン62では、
検索窓や問い合わせフォームなど、ユー
ザが入力する機能を有するすべての
ページにまで拡大
2018年7月リリースのバージョン68です
べてのHTTP接続ページで警告を表示
Copyright Open Source Innovation Labs Ltd. All right reserved.
7/24
「HTTPサイトは安全でない」
と主要ブラウザが警告強化
Mozilla
Firefox
「Firefox」のバージョン52より、
HTTP(非SSL)接続ページのログ
インフォームをクリックしてID
やパスワードを入力しようとす
ると、赤い斜線が入った鍵の
マークと警告メッセージが表示
Copyright Open Source Innovation Labs Ltd. All right reserved.
8/24
常時SSL化は、全てのWebサイトについて、
必須の事項
Copyright Open Source Innovation Labs Ltd. All right reserved.
9/24
WordPressではどうすればいいのか?
Copyright Open Source Innovation Labs Ltd. All right reserved.
10/24
SSL化手順の概要
SSLサーバー証明書を入手
バックアップ(一応)
WordPressの設定変更(http→https)
リンク書き換え
リダイレクト設定
その他の作業
Copyright Open Source Innovation Labs Ltd. All right reserved.
11/24
1)SSLサーバー証明書を入手
案1)認証局から購入
案2)無料の Let‘s Encrypt を利用
案2-1)エックスサーバー、さくらインター
ネットなどのレンタルサーバーから利用可能
案2-2)Pleskから利用
Pleskとは、GMOクラウド のALTUS Basic、
Amazon EC2、Microsoft Azure等のクラウドサー
ビスや、専用サーバー、VPS(バーチャルプライベー
トサーバー)、共有ホスティングサーバーを管理する
ための、クラウド業界で最も利用されているサー
バー管理ツール、コントロールパネル
Copyright Open Source Innovation Labs Ltd. All right reserved.
12/24
4)リンクの書き換え
Wordpress本文内の内部リンクや、imgの
内部画像リンクを全てhttpsに変更
1つずつ変更するのが大変であれば、一括
変更(置換)するプラグインもある
Search Regex
Copyright Open Source Innovation Labs Ltd. All right reserved.
13/24
5)リダイレクト設定
なぜ必要?
外部サイトの既存リンク(http://~)からの
遷移のため
Googleの評価を引き継ぐため
「.htaccessファイル」で設定
http://~へのリクエストを、
対応するhttps://~へ、301リダイレクト
301リダイレクトは、URLが恒久的に変更された場
合に用いられる転送処理のステータスコード
Copyright Open Source Innovation Labs Ltd. All right reserved.
14/24
6)その他の作業
GoogleAnalyticsなどの設定変更
Copyright Open Source Innovation Labs Ltd. All right reserved.
15/24
プラグインの活用
(1) Really Simple SSL
(2) WP Force SSL
(3) SSL Insecure Content Fixer
Copyright Open Source Innovation Labs Ltd. All right reserved.
16/24
常時SSL化による新たな脆弱性問題?
Copyright Open Source Innovation Labs Ltd. All right reserved.
17/24
これまで
会員サイトなどで
フォーム
ユーザー
Copyright Open Source Innovation Labs Ltd. All right reserved.
18/24
これまで
例えば、
SQLインジェクション
フォーム
攻撃者
Copyright Open Source Innovation Labs Ltd. All right reserved.
19/24
これまで
例えば、
SQLインジェクション
攻撃者
WAF
フォーム
Copyright Open Source Innovation Labs Ltd. All right reserved.
20/24
これまで
例えば、
SQLインジェクション
WAFで
検知できない
フォーム
攻撃者
攻撃し放題!
Copyright Open Source Innovation Labs Ltd. All right reserved.
21/24
どうすればいいのか?
Copyright Open Source Innovation Labs Ltd. All right reserved.
22/24
クライアント証明書を入れましょう!
Copyright Open Source Innovation Labs Ltd. All right reserved.
23/24
ITはもっと社会に貢献できる!
システムエンジニアは、もっとヒーローになれる!
我々はITエンジニアが、今よりももっと「誇
り」と「喜び」をもって仕事をし、今よりも
もっと企業や社会に貢献できる、そんなIT業界
を創りたいと考えています。
そのためには、優れた技術を持ったIT企業が、
もっと世の中に知られ、下請けでなく直接企業
と取引できる必要がある、と考えました。
「マジセミ」とは、IT企業が単なる売り込みで
はなく、参加者のために本当に「役に立つ」情
報を提供する、”本気”の情報提供セミナーです。
IT企業は「マジセミ」によって、自社の技術が
どのように企業や社会に貢献できるのか、世の
中に発信することができるのです。
我々はこのような目的で、「マジセミ」を年間
約200回開催しています。
Copyright Open Source Innovation Labs Ltd. All right reserved.
24/24

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!