OWASP WordPressセキュリティ実装ガイドライン（セキュアなWordPressの構築ハンズオン手順書）

セキュアなWordPressの構築ハンズオン
1
2018.04.07 (Sat)
OWASP Nagoya

• 西村将利（にしむらまさとし）
• facebook： https://www.facebook.com/nishimura.masatoshi.3
• twitter ： @BankKeikei55
– WordPress
– AWS , Azure
– kintone
– OWASP Nagoya
2
自己紹介

3
もくじ①
章タイトル
実装ガイド
番号
ページ
1 各種アカウント 5~6
2 Linux内ローカルディレクトリ配置 7~8
3 WordPress4.9.4インストール設定
4.11
4.17
4.18
4.2
4.9
9~37
4 wp-config.phpファイルの移動 4.16 38~40

4
もくじ②
章タイトル
実装ガイド
番号
ページ
5 wp-adminのアクセス制限 4.6 41~46
6 ブルートフォースアタック対策 4.7 47~57
7 セキュリティプラグイン設定
4.13
4.19
4.20
4.21
58~102
8 BackWpUpプラグイン設定 4.4 103~111

6
1.各種アカウント
WordPress4.7.1 WordPress4.9.4
WordPress
ユーザー admin owaspnagoya494
パスワード password
「強力」判定のものを使
用する
DBテーブル接頭辞 wp_ owasp758_
MariaDB
(MySQL)
DB名 wordpress471 wordpress
DBユーザー名 owaspnagoya owaspnagoya
DBパスワード owasp758 owasp758
Linux CentOS7
ホスト 192.168.100.100
ユーザー名 owaspnagoya
パスワード owasp758
ハンズオン向けの設定値です。実際の運用では、鍵認証
・2要素認証・アカウント漏洩対策を行ってください

7
2.Linux内ローカルディレクトリ配置

8
2.Linux内ローカルディレクトリ配置
Linux内部パス URL
ドキュメントルート /var/www/html http://192.168.100.100
WordPress本体
やプラグイン等
原本ファイルデ
ィレクトリ
4.7.1 /home/owaspnagoya/downloadfile471
4.9.4 /home/owaspnagoya/downloadfile
WordPress4.7.1 /var/www/html/wordpress471 http://192.168.100.100/wordpress471
WordPress4.9.4 /var/www/html/wordpress494 http://192.168.100.100/wordpress494
ローカルの隔離環境で実施しているため、ダウンロードOVAの中に各種ファイルを準備しています

9
3.WordPress4.9.4インストール設定

$ pwd
/home/owaspnagoya/wpscan/
$ cd /home/owaspnagoya/downloadfile
$ sudo cp wordpress-4.9.4-ja.tar.gz /var/www/html/
10
3.WordPress4.9.4インストール設定1
TeraTerm（Windows）やターミナル（Mac）で以下のコマンドを実行し、tar.gzを移動します
ダウンロード済のwordpress-4.9.4-ja.tar.gzを利用
パスワード owasp758 を半角英数小文字で入力します ※パスワードは入力しても表示されません

11
$ cd /var/www/html/
$ ls -al
$ sudo tar -zxvf wordpress-4.9.4-ja.tar.gz
ダウンロード済のwordpress-4.9.4-ja.tar.gzを利用
1. デイレクトリを移動します
2. コピーされたwordpressパッケージがある事を確認します
3. wordpressパッケージ展開します

12
バージョン識別をしやすくするため、展開後のディレクトリ名wordpressをwordpress494に変更します
$ sudo mv /var/www/html/wordpress /var/www/html/wordpress494
tar.gzのwordPress4.9.4パッケージを削除します
$ sudo rm /var/www/html/wordpress-4.9.4-ja.tar.gz

13
ディレクトリの状態、所有者、グループを確認します
$ ls -al

14
ディレクトリの所有者とグループをapacheに変更します
$ sudo chown -R apache:apache /var/www/html/wordpress494

15
Wordpress494ディレクトリの所有者とグループがapacheに変わっていることを確認します
$ ls -al

16
①ブラウザを開いて
http://192.168.100.100
/wordpress494
に進みます
②クリックします

17
① 各種アカウントを入
力します。テーブル接頭
辞をwp_ではないものに
変えてください。今回、
「owasp758_」とします
②送信をクリックします

18
「インストール実行」を
クリックします

19
①サイトタイトル、ユーザー名、パス
ワード、メールアドレスを入力します
※パスワードは判定が「強力」となる
ものを使ってください。
※パスワードを含むユーザーアカウン
トが漏洩しないように物理面の管理に
も配慮が必要となります
②クリックします

20
ログインをクリックします

21
「ユーザー名」に「
owaspnagoya494」を入力し
、先ほどのパスワードを入力
しログインします

22
ダッシュボードにログイ
ン出来ることを確認して
ください

23
未使用プラグインとテーマの削除
Hello Dollyプラグインを削除します
①対象のプラグインを選択します
②対象行のチェック欄にチェックを入れます
③削除をクリックします
③の後、削除確認のアラートが表示されたら
「OK」をクリックします

24
未使用プラグインとテーマの削除
未使用テーマを削除します
①外観をクリックします
②テーマをクリックします

25
不要プラグインと不要テーマの削除
Twenty Fifteenの上にポインタ
を移動し、①「テーマの詳細」
をクリックします

26
不要プラグインと不要テーマの削除
①右下の「削除」をクリックします
※削除確認のアラートが表示された場合
は「OK」をクリックします
Twenty Sixteenのテーマも同じように削除
します

27
WordPress4.9.4
WordPress
ユーザー owaspnagoya49402
パスワード
「強力」判定のものを使用す
る
インストール時の初期管理者アカウント、ユーザーID:1 を削除
以下のWordPressユーザーを管理者アカウントで追加、その後、インストール時の初期アカウン
ト（ユーザーID:1）を削除します。adminなどブルートフォースアタックで突破されやすいユー
ザー名も削除する必要があります
「ダッシュボード」⇒「ユーザー」⇒「新規追加」に進みます

28
①「ユーザー」をクリックします
②「新規追加」をクリックします
③「ユーザー名」に「owaspnagoya49402
」とメールアドレスを入力します
④「パスワードを表示」をクリックします
強力判定のパスワードを使う
⑤「管理者」を選択します
⑥「新規ユーザーを追加」をクリックします

29
①初期インストールユーザー「
owaspnagoya494」をログアウ
トします

30
「owaspnagoya49402」で再びログインしてください
ID:1である初期インストールユーザー（ owaspnagoya494
）でログインしているため、owaspnagoya494ユーザーを削
除できません。
owaspnagoya49402にログインをやり直し、
owaspnagoya494ユーザーを削除する必要があります。

31
ユーザー ID：1 すなわちインストー
ル時に最初に作ったユーザーを削除しま
す
①「削除」をクリックします

32
コンテンツを引き継ぐユーザーを選択し、削除します
①「すべてのコンテンツを以下のユーザーのものにする」をチェックし
、「owaspnagoya49402」のユーザーを選択します
③「削除を実行」をクリックします

33
認証用ユニークキー確認
$ cat /var/www/html/wordpress494/wp-config.php
コンソール画面に移動して、次のコマンドを入力します
設定ファイルwp-config.phpに認証用ユニークキーが設定されているかを確認します

34
上にスクロールしながら、赤枠内の様に、8種類の
認証用ユニークキーが全てランダム文字列になって
いることを確認します
環境によって、8種類すべて同一文字列キーになっ
てしまっている場合などがあります

35
以下URLにてユニークキーを作成して、wp-config.phpにコピー＆ペーストします
https://api.wordpress.org/secret-key/1.1/salt/
認証用ユニークキーを作成する場合

36
WordPressの全体SSL化①
● CentOS、Apache、Nginxなどのバージョンを確認します
● 上記に適した openssl、mod_ssl（mod24_ssl）などのインストールを
します
● ファイヤーウォールのhttps（ポート443）設定をします
※ファイル、php、DB等でキャッシュを使っている場合、キャッシュ削除/停
止後の作業を推奨します
今回のハンズオンでは、Virtualboxのホストオンリーネットワークをしよ
うしているため、mod24_sslのインストールができません。
今回は、SSL化の作業は行いません。

37
WordPressの全体SSL化②
● SSL証明証サーバーインストールと「.htaccess」「httpd.conf」「nginx.conf」等
の設定をします
● データーベース内の「http://独自ドメイン」を「https://独自ドメイン」に置き換
えを行います
● ワードプレスファイル内の「http://独自ドメイン」を「https://独自ドメイン」に
置き換えを行います（キャッシュなどに注意してください）
● mixed contentのチェックと修正します（Mixed Content Checker製品版、
python,PhantomJS,npmを使う方法などいろいろあります）

38
4.wp-config.phpファイルの移動

4.wp-config.phpファイルの移動1
①wordpress494用のwp-config.phpをルートディレクトリ方向へ1つ移動します
$ sudo cp /var/www/html/wordpress494/wp-config.php /var/www/html/wp-config.php
②元の場所にあるwp-config.phpを削除します
$ sudo rm /var/www/html/wordpress494/wp-config.php
39

40
4.wp-config.phpファイルの移動2
wordpress494用のwp-config.phpの所有者とグループの変更します
$ sudo chown apache:apache /var/www/html/wp-config.php

41
5.wp-adminのアクセス制限

42
5.wp-adminのアクセス制限1
$ cd /etc/httpd/conf
①apache設定httpd.confファイルのディレクトリへ移動します
②念のために、デフォルトhttpd.confファイルのバックアップをとります
ドキュメントルートの .htaccess を有効化
$ sudo cp -p /etc/httpd/conf/httpd.conf ./httpd.conf-back

43
AllowOverride NoneからAllに書き換え済のhttpd.confファイルを
home/owaspnagoya/downloadfile/httpd.confよりコピーして上書きします
ドキュメントルートの .htaccess を有効化
$ sudo cp /home/owaspnagoya/downloadfile/httpd.conf ./

44
$ sudo systemctl restart httpd
必要に応じてパスワードを入力します
httpdの再起動

45
wp-adminの.htaccess設定
/var/www/html/wordpress494/wp-admin/ に移動します
$ cd /var/www/html/wordpress494/wp-admin/
.htaccessファイルをコピーします
$ sudo cp /home/owaspnagoya/downloadfile/.htaccess ./

46
.htaccess所有者とグループの変更します
$ sudo chown apache:apache .htaccess
ご参考。.htaccessの中身は以下の通りです。自己IPアドレスのみ許可を行う設定となります

47
6.ブルートフォースアタック対策

48
6.ブルートフォースアタック対策1
● 「6.ブルートフォースアタック対策」ではGoogle Captcha（reCAPTCHA）プラ
グインを使いますが、有効化を行わず、説明だけとなります
● 今回のハンズオン環境は、ホストオンリーアダプタによるローカル隔離環境です
● ダッシュボードのログアウト後の再ログイン時に外部（グーグル）との接続/認証
が出来ない為、ログイン不可となってしまいます

49
Google Captcha（reCAPTCHA）プラグインの設定
wordpress494のプラグインディレクトリへ移動します
$ cd /var/www/html/wordpress494/wp-content/plugins
②Google Captchaプラグインを/home/downloadfile/google-captcha.1.35.zipよりコピーします
$ sudo cp /home/owaspnagoya/downloadfile/google-captcha.1.35.zip ./

50
google-captcha.1.35.zipを解凍します
$ sudo unzip /var/www/html/wordpress494/wp-content/plugins/google-captcha.1.35.zip
②Google Captchaプラグインのzipを削除します
$ sudo rm /var/www/html/wordpress494/wp-content/plugins/google-captcha.1.35.zip

51
ユーザーとグループを設定します
$ sudo chown -R apache:apache /var/www/html/wordpress494/wp-content/plugins/google-captcha

52
ダッシュボードから
①「プラグイン」をクリックします
②「Google Captcha」の「有効化」
をクリックします

53
Google Captchaプラグ
インの「有効化」をクリ
ックします
ハンズオン環境は、ホス
トオンリーアダプタであ
るため、Google発行の
Site KeyとSecret Keyの
Googleとの認証が出来ま
せん
Google Captchaプラグ
インの設定は参考として
説明しています

54
①Get the API Keysより、Googleにログ
インしてSite KeyとSecret Keyを発行し
ます
②「Site Key」を入力します
③「Secret Key」を入力します
④「Save Changes」をクリックします
※各種キー取得画面は次のページにて参
照ください

55
Get the API Keysをクリック後、Googleにログイン
します
①「Label」にSite KeyとSecret Key発行に対して使
用する任意の名称を入力します
本資料は「OWASP Nagoya Wordpress494」とし
ています
②「reCAPTCHA V2」にチェックします
③「192.168.100.100」を入力します
※「192.168.100.100/wordpress494」は入力受
理されない様になっています
④「Accept the reCAPTCHA Terms of Service」を
チェックします
⑤「Register」をクリックします

56
Registerをクリック後、Site Keyと
Secret Keyが発行されます

57
Site KeyとSecret Keyをコ
ピー＆ペーストした後、「
Save Changes」をクリック
します

58
7.セキュリティプラグイン設定

59
7.セキュリティプラグイン設定1
iThemes Security (formerly Better WP Security)プラグイン
以下のコマンドにて、iThemes Securityプラグインをワードプレスに設定します
$ sudo cp /home/owaspnagoya/downloadfile/better-wp-security.6.9.2.zip ./
対象ファイルの展開と削除します
$ sudo unzip better-wp-security.6.9.2.zip
$ sudo rm better-wp-security.6.9.2.zip

60
プラグインディレクトリのユーザーとグループを設定します
$ sudo chown -R apache:apache better-wp-security

61
iThemes Security (formerly Better WP Security)プラグイン翻訳ファイル
以下のコマンドにて、iThemes Securityプラグインの翻訳ファイルをワードプレスに設定
※Virtualboxのホストオンリーアダプタ―特有の設定です。NAT相当のネットワークアダプタが
使える環境では、プラグインの有効化と同時に自動的に日本語化されています
$ cd /var/www/html/wordpress494/wp-content/languages/plugins
$ sudo cp /home/owaspnagoya/downloadfile/better-wp-security-ja.mo ./
$ sudo cp /home/owaspnagoya/downloadfile/better-wp-security-ja.po ./

62
iThemes Security (formerly Better WP Security)プラグイン翻訳ファイル
言語（翻訳）のプラグインファイルの所有者とグループを設定します
$ sudo chown apache:apache better-wp-security-ja.mo
$ sudo chown apache:apache better-wp-security-ja.po

63
iThemesSecurityを有効化しま
す
①「プラグイン」をクリックし
ます
②「iThemesSecurity」の有効
化をクリックします

64
iThemesSecurity無料版の基本的な機能➀
セキュリティチェック
DBバックアップやブルートフォース対策等、有効無効
確認
グローバル設定
IPアドレスのブラックリスト/ホワイトリスト機能、wp-
config.phpや.htaccessやnginx.conf等の書込み許可
通知管理セキュリティダイジェストなど、Eメール通知の管理
404の検出大量に404を発生させるユーザーのロックアウト管理
退席中モードダッシュボードログインの時間帯制限
禁止ユーザー hackrepair.comによるブラックリスト機能の管理
データベースのバックアップ DB定期バックアップの管理

65
ファイル変更の検出ファイル改ざんチェック機能の管理
ファイルのパーミッションパーミッション設定値チェック
ローカルのブルートフォース保護ロックアウトや回数などログイン制限管理
ネットワーク・ブルートフォース保護
自分のWEBサイトに侵入試行してきた悪意のユーザー
を他サイトで侵入出来ないように情報共有して協力す
る機能
SSL
SSL証明証セット後、.htaccessなどのSSL対応をプラ
グインで実施できる機能
iThemesSecurity無料版の基本的な機能②

66
強力なパスワードの実施パスワードの強力判定機能を強制
システムの微調整リクエストやクエリのフィルタリングなど各種
WordPressのソルト
認証用キーの再発行。再発行すると接続されているセ
ッションが切断される
WordPressの微調整
不要ヘッダの削除、テーマ/プラグイン編集XML-RPC
やREST APIの無効化
iThemesSecurity無料版の基本的な機能③

67
プラグインを有効化した時点で、既に各種「推奨」設定が自動で設定されます
デフォルト設定そのままで良い部分には触れず、その他の「推奨」設定を行います
今回のハンズオンでは「高度」については取り扱いません

68
iThemesSecurityの設定を行いま
す
「設定」へ進みます

69
「Secure Site」をクリックしま
す

70
①「ネットワーク・ブルートフォー
ス保護を有効化」をクリックします
②閉じるをクリックします

71
iThemesSecurityのネットワーク・
ブルートフォース保護では、
ithems.comからAPIキーの発行をし
てもらうことが必要となります
ホストオンリーアダプタであるため
、今回は左記の様なエラー画面とな
ります
このまま、左下の「閉じる」をクリ
ックします
念のために、次のページで正常な状
態をご紹介します

72
インターネットから隔離されていない環境であ
れば、iThemesSecurityのネットワーク・ブル
ートフォース保護で、APIキーの発行作業も行
われます
左記の様な画面になります

73
ithemes.comでAPIキーを取得していない場合、
iThemesSecurityの設定ページのトップで以下のようなAPIキー取得の案内が表示されます

74
「グローバル設定」「構成の
設定」に進みます

75
グローバル設定
「ロックアウトのホワイトリ
スト」に自己IP に
「192.168.100.1」を入力し
ます
①「ホワイトリストに現在の自
分のIPアドレスを追加」をクリ
ックします
②「設定を保存」をくりっくし
ます
接続される端末が固定IPで設定
している場合に推奨します

76
Notification Center （通知管理）
「iThemesSecurity」の
「トップページ」で
「Notification Center」の「構
成の設定」に進みます

77
セキュリティダイジェストメールを送信す
るユーザーを選択します
①ALL 管理者 users のチェックを確認し
ます
②の部分について、権限グループ「管理者」
が一覧で並びます。権限グループが「投稿者
」や「編集者」等の場合は表示されません
複数の管理者がいる場合は、セキュリティを
担当する管理者だけに送信するなど使い分け
も可能です

78
圧縮されたSQLファイルバックア
ップの送り先メールアドレスを設
定します
①「Recipient」にメールアドレス
を入力します
②「設定を保存」をクリックしま
す

79
404の検出
「iThemesSecurity」のトップページで
「Notification Center」の「404の検出」の
「有効」をクリックします

80
禁止ユーザー
「iThemesSecurity」の「トップページ」
で「禁止ユーザー」の「構成の設定」をク
リックします

81
禁止ユーザー
「禁止ユーザー」機能、無効化を推奨します
※GooglebotやBingbotのIPアドレスが禁止
リストに勝手に登録されてしまうため
「禁止ユーザー」機能、有効化を行うと、グ
ーグルサーチコンソールのインデックスが0
（ゼロ）になります

82
データベースのバックアップ
「iThemesSecurity」の「トップページ」で「デ
ータベースのバックアップ」で「構成の設定」を

83
データベースのバックアップ
バックアップの間隔は、記事投稿の頻度を
基準にして、バックアップ間隔の日数を判
断することを推奨します

84
ファイル変更の検出
で「ファイル変更の検出」の「詳細を見
る」をクリックします

85
ファイル変更の検出（改ざん通知）
「有効」をクリックします

ファイル変更の検出
①「分割ファイルのスキャンをチェックします
。」にチェックします
②設定を保存します
全部まとめて1回でスキャンを行わず、パーツ別
に分割して行います。サーバー負荷を減らしま
す
ファイルの書き換えが行われると、設定してい
るメールアドレス宛にメールが届きます
アップデートによるファイル更新も書き換えと
してメールが届きます。悪意の改ざんと見分け
るには、更新作業を行ったテーマ/プラグインと
日時の記録を行うことが必要となります。更新
作業の履歴管理が必要です
86

87
パーミッション確認
「ファイルのパーミッション」で
「詳細を表示」をクリックします

88
「ファイルのパーミッション詳細を読み
込む」をクリックします

89
パーミッションの確認画面です
「ファイルのパーミッション詳細を再読み
込み」をクリック。ひと通り設定後に設定
値が正しいかチェックします

90
各種パーミッションは、左記「実装ガイドライン 4.13
Check file permissions」のDesiredをベストと
考えてください
テーマやプラグインなどのダッシュボードGUI設定でパー
ミッションが設定変更の支障となる場合、Fallback（代替
案）にパーミッションを変更してダッシュボードGUI設定
を行い、作業が終わり次第元に戻してください

91
ローカルのブルートフォース保護
です
「ローカルのブルートフォース保護」で
「構成の設定」をクリックします

92
ローカルのブルートフォース保護
ユーザー名「admin」
のログイン試行禁止
設定します
①をチェックします
②「設定を保存」を

93
ネットワークのブルートフォース保護
ローカルのブルートフォース保護との違いは
、iThemesSecurityが悪意のログイン試行IPア
ドレスを管理、さらにログイン試行パターン
に対する各種フィルタリングの「しきい値」
ブラッシュアップまでiThemesSecurityが共有
管理と対策を行うという点です。APIキーが発
行されます
①iThemesSecurityからWordPressセキュリテ
ィに関するメールを受け取るメールアドレス
を設定します
②「設定を保存」をクリックします
※ホストオンリーアダプタなので出来ません

94
SSL
サイトのSSL化を行う際､SSL証明書のインストール後、
apacheの.htaccesによるリダイレクト設定をプラグインで設定出来ます
Nginxの場合、nginx.confやincludeデイレクティブのパス設定等が必要です
.htaccessパーミッション強化は設定終了後の最後に行うことを推奨します
ホストオンリーアダプタの為、SSL証明書インストールが出来ません
ハンズオン環境では、SSL証明証インストールせず進めます。実際の運用環境について、SSL導入
を推奨します

95
システムの微調整
です
「システムの微調整」で
➀「有効」をクリックします
②「詳細を見る」をクリックします

96
以下の項目をチェックします
● システムファイルの保護
● ディレクトリの参照を無効
● リクエストメソッドのフィルタ
● URL内の不審なクエリ文字列をフィ
ルタリング

97
以下の項目をチェックします
● ファイルの書き込み権限を削除
wp-config.phpや .htaccess のパーミッショ
ンを0444にします
最後に「設定を保存」をクリックします

98
「ファイルのパーミッション」の「詳細を
表示」にて確認します
パーミッションのチェックがすべてが有効
化状態（オールグリーン）になっている事
を確認します

99
WordPress のソルト（暗号化する際に使用されるデータ）
レンタル共有サーバー等環境によって異なりますが、wp-config.php内の認証
向けシークレットキーの再設定が出来ます
ランダム文字列ではなく、8種のキーが全て同じ文字列になってしまってい
る場合などに利用してください
シークレットキーを設定すると現在接続されているセッションが切断されま
す。再度ダッシュボードログインが必要となります

100
WordPress の微調整
「iThemesSecurity」の「トップペー
ジ」「WordPressの微調整」で「構
成の設定」をクリックします

101
WordPress の微調整
以下の項目にチェックします
● ファイルエディタを無効にする
● ユニークなニックネームの選択を
ユーザーに強制
● 追加ユーザーのアーカイブを無効
● タブナビングからの保護
「設定を保存」をクリックします

102
NinjaFirewall (WP Edition)プラグイン
ホストオンリーアダプタを使っているため、ルールファイルの取得更新が出来ません
そのため、NinjaFirewall（WP Edition）プラグインについては、実装ガイドラインに従い紹介のみ
となります
プラグインだけではなく、WAF（Web Application Firewall）、IDS（不正侵入検知）、IPS（不正侵
入防御）などの活用も検討ください

103
8.BackWPupプラグイン設定

104
8.BackWPupプラグイン設定1
以下のコマンドにて、BackWpUpプラグインをワードプレスに設定、ユーザーとグループをApacheに変更
します
$ sudo cp /home/owaspnagoya/downloadfile/backwpup.3.4.4.zip ./
$ sudo unzip backwpup.3.4.4.zip
$ sudo rm backwpup.3.4.4.zip
$ sudo chown -R apache:apache backwpup

105
BackWpUpプラグイン翻訳ファイル
以下のコマンドにて、BackWpUpプラグインの翻訳ファイルをワードプレスに設定します
※Virtualboxのホストオンリーアダプタ―特有の設定です。NAT相当のネットワークアダプタが
使える環境では、プラグインの有効化と同時に自動的に日本語翻訳ファイルもインストールさ
れます
$ cd /var/www/html/wordpress494/wp-content/languages/plugins
$ sudo cp /home/owaspnagoya/downloadfile/backwpup-ja.mo ./
$ sudo cp /home/owaspnagoya/downloadfile/backwpup-ja.po ./
$ sudo chown apache:apache backwpup-ja.mo
$ sudo chown apache:apache backwpup-ja.po

106
BackWpUpプラグインの設定
デフォルト設定を使用し、ジョブを作成し、WordPressのCronでスケジュール実行します
今回のハンズオン環境を使用して、ローカルにファイルバックアップを行います

107
①「プラグイン」をクリックします
②「BackWPup」の「有効化」をクリッ
クします

108
BackWpUp ジョブを作る
①「BackWpUp」をクリックします
②「新規ジョブを追加」をクリックしま
す

109
ジョブの名前を設定します
以下の項目にチェックします
・ファイルのバックアップ
・インストール済みプラグイン一覧
※「データベースのバックアップ」
は、iThemesSecurityでメール添付に
てバックアップ設定している為、チ
ェックを外します

110
「フォルダーへのバックアップ」に
チェックします
「ログ送信先のメールアドレス」に
メールアドレスを設定します
「設定を変更」をクリックします

111
BackWpUp スケジュールを作る
①「スケジュール」をクリックします
②「ジョブの開始方法」で「WordPressのCron」を
選択します
③「スケジューラ―」にバックアップを実施する日
時を入力します
「スケジューラー」設定の次に「変更を保存」をク
リックします

112
WPScanを再度実行してみましょう
実装ガイドラインの中で基本的な部分を中心に実装を終えました
今回の実装以外にも様々なWordPressのセキュリティ対策があります

謝辞
113
本資料の作成に当たり多大なる支援をしてくださった方々に
感謝の意を表します。
（順不同）
・井上茂
・村井剛
・西村将利
・谷口貴之
・丹羽雪晴
・All OWASP Nagoya Staff
・坂梨功典
・加藤人生
・清水健吾
・浅田竜起

OWASP WordPressセキュリティ実装ガイドライン（セキュアなWordPressの構築ハンズオン手順書）

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie OWASP WordPressセキュリティ実装ガイドライン（セキュアなWordPressの構築ハンズオン手順書）

Ähnlich wie OWASP WordPressセキュリティ実装ガイドライン（セキュアなWordPressの構築ハンズオン手順書） (20)

Mehr von OWASP Nagoya

Mehr von OWASP Nagoya (16)