安全なWordPressの使い方: 最新版WPに対するハッキングの手口と防衛方法 [ワードプレスのセキュリティ]

最近（2024年12月）発見されたばかりのプラグインにある脆弱性を対象にした攻撃を事例にして、現代のWordPressにおける攻撃と防衛の手法について話しました。

WordPressは様々なプラグインやテーマを活用して望むウェブサイトを簡単に構築出来るのが魅力ですが、セキュリティ対策には気をつける必要があり、特にサードーパーティのプラグインやテーマの管理には注意が必要です。

00:00 開始（前置き）
04:40 プラグインの脆弱性
07:15 自作exploitの解説
10:04 攻撃
11:55 脆弱性の原因解説
15:30 防衛方法
15:44 自動アップデートの重要性
17:44 強力な認証手段を使う（パスワード、多段階認証）
18:35 最低限の権限しか与えない
21:45 不要な機能を切る(xmlrpc等）
23:40 訪問者に見せる必要のない情報は隠す
24:50 ダッシュボードからの直接編集は切る
26:40 セキュリティ対策は体系的にまとめる
26:55 WAF
28:38 不要なPHP functionsを切る
（exec, shell_exec, system, passthru, popen, proc_open, eval, assert等）
29:30 まとめ
31:50 WPの健康状態を確認
32:00 おしまい

動画の尺を３０分程度に収めたかったため、防衛方法については口頭での解説が主となってしまいました。需要がありそうであれば細かい設定方法も動画にします。