「[日本語] WordPress Security Show – Is Your Site Really Secure? (1/2)」の日本語書き起こし

元の動画

amara

日本語訳

0:00:00.000,0:00:03.728
WordPressのセキュリティ対策ってホンマでっか、です。

0:00:03.728,0:00:08.536
モデレーターは水野さん、登壇者は、松本さん、堀家さん、岡本さんです。

0:00:08.536,0:00:10.734
よろしくお願いします。

0:00:24.974,0:00:27.385
みなさんこんにちは

0:00:27.385,0:00:31.736
これから2時のセッション、WordPressのセキュリティについて、

0:00:31.736,0:00:36.487
サブタイトルは「WordPressのセキュリティ対策ってほんまでっか？」というタイトルになってます。

0:00:36.567,0:00:45.600
まずは、ここにきて下さっているパネラーの方に、それぞれ自己紹介をお願いしたいと思います

0:00:47.098,0:00:52.481
まず、松本さんです。よろしくお願いします。

0:00:52.513,0:00:56.054
みなさんこんにちは。松本悦宜です。

0:00:56.054,0:01:02.075
株式会社神戸デジタル・ラボで、セキュリテイの診断・調査を行っています。

0:01:02.455,0:01:07.360
最近は東京のとあるセキュリティ組織でインシデントハンドリング等しています。

0:01:07.360,0:01:10.585
WordPressは主に趣味で開発しています。

0:01:10.585,0:01:15.892
プラグインのセキュリティ診断や、脆弱性報告を過去にいくつかおこなっています、

0:01:15.892,0:01:19.581
本日はよろしくお願いします。

0:01:22.130,0:01:26.874
次は堀家隆弘さんです。

0:01:26.874,0:01:35.158
みなさんこんにちは。こんにちは！元気がないですね～（笑）

0:01:35.708,0:01:43.302
はい、堀家隆弘と申します。WordPress界隈では、通称カクニンさんと呼ばれています。

0:01:43.302,0:01:55.886
趣味で、プラグインなど、公式にあげたりして活動しています。WordPressプラグインの開発者という形で、今回参加させていただきました。

0:01:55.886,0:01:58.492
よろしくお願いいたします。

0:02:00.846,0:02:04.861
続きまして、岡本雄樹さんです。

0:02:04.861,0:02:13.542
はい、アシアル株式会社の堀家隆弘と申します。今日は、スポンサーブースを出していて、

0:02:13.542,0:02:22.223
WordPressの記事を投稿するアプリをスマートフォン用に作ったりしていますので、もしよかったら見に来てください。

0:02:22.223,0:02:30.905
あと、今日は、ワプーを持ってきたので、よかったら後で見てください。

0:02:36.787,0:02:44.416
最後、わたくし水野史土と申します。モデレータをつとめさせていただきます。よろしくお願いします。

0:02:47.961,0:02:56.160
では、まずはWordPressとは何か、ということについて、１０分〜１５分で説明したいと思います。

0:02:56.160,0:03:03.009
これを、みんなで話すと時間がなくなってしまうので、

0:03:03.009,0:03:11.058
代表して、松本さんにまず、WordPressとそのセキュリテイについて説明してもらいたいと思います。

0:03:13.417,0:03:22.014
まず、ネタふりとして。今回、WordPressのセキュリティをテーマにセッションさせていただいていますが、

0:03:22.014,0:03:28.821
ほとんどの方が、あまりセキュリテイに興味を持たれないということで、

0:03:28.821,0:03:32.833
普通にセキュリティのパネルディスカッションしてもいいんですけど、

0:03:32.833,0:03:42.078
まずは、今どういう状況なのかということについて、みなさんに共有したいと思います。まずセッションの冒頭をお借りしまして、

0:03:42.078,0:03:57.251
最近のセキュリティ事情や、WordPressのサイトで脆弱性が作りこまれる原因と対策について、ごく基本的なことになってしまいますが、説明していきたいと思います。

0:04:00.321,0:04:03.823
みなさん、この問題をかかえている方が多いかもしれません。

0:04:03.823,0:04:10.831
「WordPressって、セキュリティとか危ないから、もう他のCMSにしましょう」っていう、

0:04:10.831,0:04:22.949
他のCMSだとサポートがどうこうあるから安全なのではないか、と言われてWordPressを捨てなければならないという経験をされたことがあるかも知れません。

0:04:22.949,0:04:34.649
というのも、色々ありまして、こちらの図は、昨日、IPAといって、国のセキュリティ啓発や、情報処理試験等を運営している組織が出したのレポートです。

0:04:34.649,0:04:41.842
古いCMS、WordPressと、Movable Typeといった古いCMSを使うと、こういうことになる、というレポートが上げていました。

0:04:41.842,0:04:49.035
こちらはIPAのサイトから無料でダウンロードできます。

0:04:49.035,0:04:55.310
どうもこのグラフは、WordPressに悪意があるとしか思えないようなグラフなんですけど、

0:04:55.310,0:05:03.430
WordPressは、他のCMSに比べて脆弱性報告やリリースを頻繁にしていて、

0:05:03.430,0:05:24.560
脆弱性、セキュリティホールの数が、他のCMSに比べてダントツに多い、というのが現状になっています。

0:05:24.560,0:05:31.299
WordPressが危ないと呼ばれているのは、WordPress自体が危ないのではなく、

0:05:31.299,0:05:40.031
脆弱性報告が多い、例えば気軽に作り込んでしまうバグや、サードパーティのテーマ・プラグイン等をあやまって使ったりとか、

0:05:40.031,0:05:47.813
WordPressはユーザー数が多いので、WordPressサイトを標的にした攻撃が増えているからだと思います。

0:05:47.813,0:05:55.597
危ないのは、WordPressだけではなくて、結局は他のCMSも一緒なんですね、

0:05:55.611,0:06:02.849
WordPressを使わない、という選択よりも、正しく使うことが重要なんじゃないか、ということをお伝えしたいと思います。

0:06:03.898,0:06:14.206
最近のセキュリティ事情で、何があったかというと、「Hacked by Krad Xin」、この名前にもしかしたらみなさん見覚えがあるかも知れませんが、

0:06:14.206,0:06:28.285
何が起きたかというと、2013の8月に、とあるレンタルサーバーにおいて、大規模な改ざん事件が起こってしまいました。

0:06:28.285,0:06:34.454
公式の発表によると、約８４３８件のサイトが改ざんされましたと、

0:06:34.454,0:06:45.150
そして原因としては、当初はWordPressが完全に悪だったんですが、サーバ側のパーミッションの設定の不備等により、データベースに侵入されることによって、

0:06:45.150,0:06:50.467
起こったものである、と発表されました。

0:06:50.467,0:06:57.814
これは例えば、やられた例なんですけれども、結構いたるところのサイトがやられてまして、

0:06:57.814,0:07:09.526
今、ちょっと見ているのは、ソイネヤさんですね、みなさんお好きな方も多いと思いますが、ソイネヤさんのサイトがやられてて、モエモエソイネヤなんちゃらで、

0:07:09.526,0:07:14.778
Hacked by Krad Xinというよくわからない改ざんの方法がされていました。

0:07:14.778,0:07:23.260
で、今日説明したい、脆弱性が作り込まれる原因については、４つ絞ってみました。

0:07:24.142,0:07:27.122
テーマ・プラグインの開発時のミス

0:07:27.140,0:07:30.493
２つめが、古いバージョンを使い続けることによるもの、

0:07:30.532,0:07:33.487
３つめが、管理画面の設定不備

0:07:33.487,0:07:39.931
４つめが、ユーザー権限の設定不備。以上の４つを、今日は紹介したいと思います。

0:07:39.931,0:07:48.154
まずは１つめ、テーマ、プラグイン。使用しているサードパーティ、ほかの人が作ったオリジナルテーマやプラグイン、

0:07:48.154,0:07:55.647
また、オリジナルに作ったものも含めますけど、そこに脆弱製があって使用してしまったということですね、

0:07:55.647,0:08:03.140
有料プラグインとかもなかにはあるんですけれども、有料プラグインが安全か？というとそうでもなかったりとか、

0:08:03.461,0:08:09.951
公式プラグインが安全か？というとそうでもなかったりします。

0:08:09.951,0:08:18.228
「テストしました」といって納品されてきたものが安全かというと、実はセキュリティテストがされていなかったりします、

0:08:18.228,0:08:28.395
Webアプリの脆弱性対策がされているかということに注目した方が良いと思います、

0:08:28.395,0:08:37.602
軽く説明しますと、よく使用される脆弱性としては、XSS（クロスサイトスクリプティング）の略なんですけど、

0:08:38.202,0:08:52.182
攻撃者が、JavaScriptを、自分のページではないのに、勝手に実行してしまうことにより、改ざんや、他の利用者のクッキーをとってしまうようなもの

0:08:52.182,0:09:03.252
もう一つは、SQLインジェクション。WordPressはデータベースと連携していますが、そのデータベースに対して、不正なSQLクエリを送ってしまう。

0:09:03.975,0:09:13.006
それによって、攻撃者が、普段は触らないようなところをさわってしまったりとか、とってはいけない情報をとってしまったりするといものが挙げられます。

0:09:13.006,0:09:22.207
他には、CSRF（クロスサイトリクエストフォージェリー）というのもあります。

0:09:23.590,0:09:28.990
これは、攻撃者が、ログイン後の操作を強制的に行わせるという攻撃手法です。

0:09:29.940,0:09:39.573
これで、ログインってどんどんページが遷移していくと思うんですけど、そのページ遷移を乗っ取って、あたかも攻撃者が既存のユーザーになりすまして

0:09:39.956,0:09:47.122
ユーザーしかできないログイン後の操作を無理矢理行わさせるというものが挙げられます。

0:09:47.122,0:09:53.669
対策としては、これはWordPressに限ったものではないのですが、Webアプリケーション等と同様に、

0:09:53.669,0:09:58.656
セキュリティ対策を行って欲しいと思います。

0:09:58.656,0:10:04.355
WordPressに限って言えば、もともと用意されている機能が結構ありまして、

0:10:04.825,0:10:20.543
例えば、esc_htmlを使うと、htmlの特殊文字、これ、クロスサイトスクリプティングの原因にもなったりするんですけど、それを自動的にエスケープしてくれるような機能もあります。

0:10:20.543,0:10:26.952
公式ドキュメント等にも記載されているので、こういったものも使って行っていただきたいと思います。

0:10:26.952,0:10:30.001
作っているサイトの規模や、保持しているデータ、

0:10:30.001,0:10:41.377
たとえば、個人情報をデータベースに入れてるよっていう人は、セキュリティチェックとか、セキュリティ診断といのを専門の人がやっていますので、それを受けてみてもいいかなと思います。

0:10:41.377,0:10:49.163
詳しくは、IPAさんが出している「安全なWebアプリケーションの作り方」というドキュメントをみていただければと思います。

0:10:49.163,0:10:59.072
２つ目に、古いバージョン（のWordPress）を使い続けるというものですね。で、旧バージョン、昔のWordPressを使っていると、

0:10:59.072,0:11:09.148
昔のWordPressは、更新される度に、どこのセキュリティホールを直しました、といった情報があるので、どこを修正したのかを、ソースコードレベルで確認できてしまうので、

0:11:09.148,0:11:17.364
過去に修正されたものであるとか、報告されたものを狙われる場合もあります。

0:11:17.364,0:11:28.197
中には、この脆弱性を使用した攻撃コード、実証コード等といったりしますが、それが公開されているので

0:11:28.197,0:11:34.485
そこまで攻撃の技術がない人でも、攻撃者内で出回っているソースコードとかスクリプトを実行するだけで、

0:11:34.932,0:11:42.344
過去の脆弱性を使用される、攻撃が起こりえます。

0:11:42.344,0:11:53.874
対策としては、WordPressの公式のリリースノートを見たり、WordPressのコアのバージョンを最新に保っていただけると思います。

0:11:53.874,0:12:03.974
後、プラグインについては、プラグインというものや、テーマというものも、頻繁に更新されていまして、WordPressの管理者画面からの確認できるんですけど、

0:12:03.974,0:12:13.916
特にインストールするときに、このプラグインてなかなか更新されてませんと、下手したら、脆弱性が既に出回ってたりするのに、更新されていませんというものもあるので、

0:12:13.916,0:12:23.024
そこはWordPressの公式サイトで警告がでるはずなので、そこをしっかりと見逃さず使って、検討していただきたいと思います。

0:12:24.220,0:12:35.920
また、JVNというサイトがあり、ここでは、WordPress以外も含めた、国内の脆弱性の情報を集めているサイトで、

0:12:35.920,0:12:44.320
IPAという国のドッコウの一つで、情報処理試験とか、セキュリティの啓発活動を行っているところと、

0:12:44.320,0:12:52.215
後、JPCERTという、重要インフラに対するインシデントハンドリングとかを行っている組織が、結構頻繁に更新をしています。

0:12:52.215,0:12:57.470
今回、キャプチャで　WordPressの例がありましたけれども、

0:12:57.470,0:13:08.836
時には、テーマやプラグインや、PHP本体の脆弱性情報もアップデートされているのでこちらでも確認できるかと思います。

0:13:10.197,0:13:17.895
対策としては、先ほど言ったとおり、テーマやプラグイン、WordPressの本体等を、必ず行ってくださいと、

0:13:17.895,0:13:26.833
で、自動アップデート機能もありますので、問題が起こらないかどうかを確認した上で、活用されてみてもいいかと思います。

0:13:27.013,0:13:31.376
で、３つ目なんですけが、管理画面の設定不備ですね。

0:13:31.376,0:13:42.177
WordPressは、ログイン画面のURLが、どこのサイトでも、基本的には固定されていますので、そのログイン画面が公開されている情報になってしまいます。

0:13:42.839,0:13:47.366
で、その公開されているログイン画面が狙われる可能性もあります。

0:13:47.544,0:14:01.706
で、例えば、「（ドメイン）/wp-admin/」というアドレスにアクセスすると、ほとんどっていうのはちょっとわからないですけど、多くのサイトで、WordPressのログイン画面が表示されます。

0:14:01.706,0:14:10.630
あと、adminというユーザーが多くて、デフォルトでは、adminというのがWordPressというのは付けがちです。

0:14:10.630,0:14:25.634
で、さらにGoogleで、wp-adminを公開しているサイトっていうのを調べれるので、簡単にこういう攻撃者からすると、WordPressの管理画面を公開しているサイトっていう情報を簡単に取得されてしまいます。

0:14:25.634,0:14:33.764
対策としては、管理画面は、IPアドレスの制限をしましょう。

0:14:33.764,0:14:38.744
管理画面というのは、本来は管理者だけが見れればいいんで、

0:14:38.744,0:14:45.556
管理者以外のアクセスは禁止しましょう、と。で、それがまあ、無理であれば、ベーシック認証等アクセス制限をつけまましょう、と。

0:14:45.556,0:14:50.428
で、ベーシック認証でも、パスワードが平文で送信されていることもありますので、

0:14:50.428,0:14:52.933
必要に応じてSSL等を必須にしましょう。

0:14:52.933,0:15:03.268
後は、ログインが実際されているかどうかっていう、ログも、確認しておくと、より安全になるかと思います。

0:15:03.398,0:15:14.372
最後４つめ、ユーザー権限の設定不備ですね、WordPressは、複数のユーザーを当然作ることができるんですが、ユーザーの権限っていうのが正しく設定されているかっていうのを確認しましょう。

0:15:14.372,0:15:19.396
管理者権限とか、投稿者権限、閲覧者権限とか色々あるんですけど、

0:15:19.396,0:15:31.451
管理者権限があれば、当然なんでもできてしまうので、プラグインを簡単に適用したりとか、PHPコードを実行したりとか、まあなんでもできてしまうので、

0:15:31.451,0:15:34.382
管理者権限を与えるときには、注意しましょう。

0:15:34.382,0:15:39.554
ここに、管理者権限でできる作業をリストにしてみました。これ以外にも、ほとんどいろんなことがあるんですけど、

0:15:39.554,0:15:53.556
テーマの変更とか、プラグインを有効にしたりとか、ユーザーの情報を変えちゃったりとか、データをインポートしたりエクスポートしたり、で、後は投稿をしたりとか、すでにされている投稿の編集をしたりとか、

0:15:53.556,0:16:03.040
そもそもサイトのタイトルの編集できたりするんで、まあ要はなんでもできてしまうので、管理者権限は結構厳重に扱った方がいいかなと思います。

0:16:03.040,0:16:13.058
対策としては、ユーザーの情報を見直ししましょう、と。実は、何人もユーザーを作っていると、「あれ？こんなユーザーいたっけ？」っていうことが起こり得るので、

0:16:13.058,0:16:23.300
ちゃんと今ユーザーが今生きているというか、ユーザーがアクティブなのかを確認したりとか、その一人一人のユーザーの権限があっているのかっていうのをチェックしたりとか、

0:16:23.300,0:16:28.992
後は管理ですね。ちゃんと運用がされているのか、っていうのを確認しましょう、ということです。

0:16:28.992,0:16:41.194
ちょっと駆け足で説明したんですが、WordPressが危険っていうのも、言いたい気持ちわかりますけれど、セキュリティ対策をしないままの運用開発っていうのが、

0:16:41.194,0:16:49.034
すべてのCMSにおいては危険です。なので、今回の発表では、簡単には有効とされるセキュリティの紹介と対策を行いました、と。

0:16:49.034,0:16:56.196
で、とはいえ、こういうのは、どうしてもセキュリティ屋の理想論になってしまうので、実際に現場では使えるのか、とか、

0:16:56.196,0:17:02.768
運用ではこういうことが起こっているのかっていうのを、残りの時間で話していきたいと思います。それではマイクをお返しします。

0:17:02.768,0:17:08.982
ありがとうございました。ではこれから、ディスカッションに入りたいと思います。

0:17:08.982,0:17:17.526
その前に、お立ちの方は、前の方の席が空いておりますので、どうぞ座ってください。

0:17:17.526,0:17:27.742
では、すごく生々しい話なんですけれども、改ざんされた経験とかがあれば、というところですけれども、

0:17:30.991,0:17:40.118
私は、運が良かっただけだと思ってるんですけれど、未だ改ざんされたことはないのですが、ちょうど個人サイトがこの間、

0:17:40.118,0:17:53.005
VPSで運営していたんですけれでも、アクセスログがあふれて止まりました。ディスクフルです。そんな感じです。

0:17:53.005,0:18:02.503
確かに、改ざんではなく、自分の運用のミスっていう感じですよね。そういうところもやっぱり注意しとかないと。そこで、

0:18:02.503,0:18:14.061
直接被害はなかったとしても、動かないということになったり困りますよね。はい、どうもありがとうございました。

0:18:14.061,0:18:21.500
僕の経験なんですけれども、僕も率直なところ、ないです、はい。

0:18:23.509,0:18:36.790
で、やっぱり改ざんされている事例って、ほとんどの事例を見てみると、サーバーのFTPが解放されていて、

0:18:36.790,0:18:49.654
ガンブラーにやられるというケースが、僕が知り合いであるとか他の会社さんからの相談を受けて見たときは、その事例が一番多いです。

0:18:49.654,0:19:03.618
共有サーバーで、FTPを開けてる、で、そこから根こそぎ一気に不要なファイルを上げられて、サイトをぶっ壊されるっていうケースが、一番多いですね。

0:19:03.618,0:19:12.404
ホント、サーバーの設定って、すごく大事だと思うんですけども、まずその、必ずFTP閉じましょう

0:19:12.404,0:19:17.460
で、SSHだけのアクセスにしてしまう、っていうところがまず1点、

0:19:17.460,0:19:32.048
でまあ、2点目として、SSHの認証を、要は、鍵認証、自分のローカルのPCに鍵がないとアクセスできない状況にしておく、っていうところと、

0:19:32.724,0:19:44.447
後は、要は、SSHに対するIP制限ですよね。例えば、VPNとか契約して、そのIPからしか接続できないようにするっていう事を

0:19:44.447,0:19:57.050
しておけば、本当にそのサーバー自体の設定不備で、改ざんされたりっていうことはほとんどないのかな、っていう風な認識でいますね。

0:19:57.050,0:20:03.999
はい、どうもありがとうございます。先ほど、SSHにするとか、鍵認証にするとかありましたけれども、それは多分堀家さん自身が

0:20:03.999,0:20:13.269
自分で管理するんならいいと思うんですけれども、例えば堀家さんのお客さんに管理してもらうときに、そこまでやってもらえるのかっていう問題はでてくると思うんですけれどどうでしょう？

0:20:13.848,0:20:26.513
それは、色々兼ね合いがあると思うんですよ。まあ一番良い選択肢っていうのは、すいません、ステルスマーケティングになってしまうんですけど、

0:20:28.467,0:20:35.389
デジタルキューブさんという会社が提供している、AMIMOTOホスティングっていうのがあるんですね。

0:20:35.731,0:20:43.580
それが月間3000円で使えるので、月間3000円であれば、要は費用の兼ね合いからいうとまあほぼほぼOKだと思います。

0:20:44.209,0:20:51.194
で、3000円ちょっと高いなあ、っていう、さすがにそこでのお客さん、いやあなたその予算でサイト作れるの？、っていう話からになっちゃうので、

0:20:52.166,0:21:00.176
で、そのAMIMOTOホスティングっていうのは、AMAZON、AWSをベースにして動いているので、基本SSHは鍵認証、

0:21:00.601,0:21:07.405
で、AMAZONの管理画面からセキュリティグループっていう設定ができるので、そのホスティングサービスを、

0:21:08.045,0:21:16.404
AMIMOTOホスティングサービスを使えば、ほぼほぼ、お手軽にセキュリティリスクをカバーしながら運用できるのかな、と思います。

0:21:17.034,0:21:34.358
例えば、共有サーバーで、FTPが開けている、もうホントに月300円しか払えませんよ、となったら、ぶっちゃけ改ざんされる危険性はあると思っておいたら良いと思います。

0:21:34.358,0:21:50.072
ただ、それが、改ざんされて、あたふたするんじゃなくて、事前に例えば、あなたはこの予算しか出せない、だったら、はっきり言って改ざんされる可能性はあります、と、

0:21:50.072,0:22:05.595
ただ、その代わり、しかし、キチンと、例えばバックアップを、例えばアマゾンのS3等の別のストレージにキチンと逃がしてやって、いざ何かあったときは、そこから戻すようにします。

0:22:05.595,0:22:13.279
手順書なり、例えば、シェフとか最近、サーバーの自動化のツールとかもあるんですけど、

0:22:13.279,0:22:23.063
そういうのを使って戻せるような手段を講じておく、というようなことをしておけば、トラブルにはならないかな、というふうに思います。

0:22:23.063,0:22:32.764
全然、ストレスになってないんですけど、大丈夫ですか？　僕は、改ざんされたことはないですけど、

0:22:32.764,0:22:43.145
改ざんをするっていうのは、さっきの例で、Krad Xinの、例みたいに、改ざんしてやったぜ！って言って、自分で改ざんをした人がどこかの

0:22:43.145,0:22:58.382
Facebookとか、そういうのを報告する掲示板とかに、はったりするんですね。で、そういうのをずっと見てると、全然、改ざんが終わっていないな、っていうのが、最近では思っています。

0:22:58.913,0:23:15.350
ただ単に、改ざんだけだったらいいんですけど、最近では、そこに、マルウェアを置かれて、そこにアクセスした人をマルウェアダウンロードインストールさせて、どんどん感染者を増やしていくっていう事例も多いので、とても怖いなと思います。

0:23:15.350,0:23:22.237
はい、どうもありがとうございます。じゃあ次行きましょうか。はい。では、

0:23:22.237,0:23:41.735
さっきと似ているようなことなんですけれども、セキュリティ事件に遭遇したとしたら、どういう風に対処するのが良いと、そういうことを自分なりに皆さん思っていると思うんで、お話いただけたらな、と思うんですけれども、どうでしょうか？

0:23:41.735,0:23:46.981
これは、なかなか難しいですね。セキュリティ事件に遭遇した時の対策…。

0:23:46.981,0:23:57.657
まあ、必ず、遭遇はしないのが一番いいんですけれども、もし遭遇してしまったらどうするか、ということを考えておかなければいけないと、思うんですけれども、どうでしょうか。

0:23:57.657,0:24:02.447
この質問、けっこう、めちゃくちゃ幅広いですよね？セキュリティ事件…

0:24:02.447,0:24:07.467
はい、例えばお客さんのサイトがハッキングされてしまいましたとか、

0:24:07.467,0:24:12.491
使っているプラグイン、あるいは作っているプラグインがゼロディ攻撃されたらとか、あるんじゃないでしょうか。

0:24:12.491,0:24:35.507
そうですね、例えばじゃあ、まず、僕がプラグインの開発をよくするので、もしじゃあ、プラグインに脆弱性が見つかって、例えば自分の作っているプラグインの脆弱性をつかれて、一気にそのプラグインを使っているサイトがクラックされました、という状況になったら、

0:24:35.507,0:24:49.325
僕は、泣きながら、修正を行います。で、セキュリティパッチを出します。それ以上、やり方はないのかな、と。

0:24:49.325,0:24:56.803
後、もう一つ訊きたいのは、自分が逆に他の人のプラグインの脆弱性を見つけたりとかしたら、どうすれば良いでしょうか。

0:24:56.803,0:25:05.863
報告をしましょう。やっぱり、プラグインとか、テーマ、確実にその

0:25:05.863,0:25:12.363
いまだに見つかっていない脆弱性っていうのは、必ずあるはずなんですね。

0:25:12.363,0:25:20.360
で、もし自分がそれを見つけたとしたら、キチンと作者、おそらく大体公式のプラグインとか公式テーマを上げてる方って、

0:25:20.777,0:25:33.661
そこに連絡先を乗っけてるケースがほとんどです。そこに対して、あなたのプラグイン、テーマはこういう脆弱性が見つかりましたよ、という報告を、してあげましょう。

0:25:34.309,0:25:44.349
それが、やはりあの、まあWordPress、オープンソースへの、自分なりの貢献っていうことになったり、ソフトウェア自体を、良くして行くっていうことにつながると思うので、

0:25:44.349,0:25:53.069
みなさんがもし、発見するっていうことがあれば、ぜひそういうことを意識してやっていただきたいっていうふうに思います。

0:25:53.069,0:25:54.624
はい、ありがとうございます。

0:25:55.058,0:26:02.228
では、ホリケさんが作ったプラグインで、早速脆弱性を見つけたのですが、どうしたらいいですか？

0:26:03.563,0:26:09.768
いやだから、今言いましたやん。報告をしなさいって。いいましたよね？

0:26:10.151,0:26:13.144
報告したら、なにかしてくれるんですか？

0:26:13.414,0:26:20.079
それも、２個前に言ったと思うんですけど、僕は泣きながら、そのプラグインの修正を行います。

0:26:20.079,0:26:24.834
報告者にはなんかしてくれるんですか？

0:26:24.834,0:26:29.311
お酒ぐらいおごってあげます。

0:26:29.311,0:26:31.376
人前で、約束されたということで

0:26:31.376,0:26:34.551
はい、ありがとうございました。

0:26:34.551,0:26:38.562
アシアルの岡本さんもプラグインを作っていらっしゃいますよね？

0:26:38.562,0:26:44.003
そうですね、最近、プラグインも野良のプラグインがやっぱり危ないといわれてますよね、

0:26:44.003,0:26:56.643
公式プラグインは、一回チェックされてから公式に乗ってるんで大丈夫なんですけど、世の中には、チェックが終わってない、あるいはチェック通す時がない、有料のプラグインとかもあります。

0:26:56.643,0:27:10.273
実は、私もプラグイン作ってるんですけど、まだ審査が通らなくてですね、まだ公式に載ってないんですけど、２週間ぐらい待って載ってないんで、もう今、野良プラグインとして公開してるんで、これを使う方は、

0:27:10.273,0:27:17.434
必ずソースコードをチェックして、問題が無い事を確認した上で使わないとダメですね。

0:27:17.688,0:27:35.276
そういう意味では、野良プラグインやテーマって、あまり使うっていうところは、推奨はできないんですけど、今、岡本さんがおっしゃったように、ぶっちゃけ、じゃあその全てのソースコードを調べるのって、無理じゃないですか。そのソースを読むって言うのは。

0:27:35.276,0:27:50.902
で、キチンとWordPressのプラグインとして、プラグインチェックであるとか、テーマチェックっていう、要は配布されてるプラグインとかテーマのコードをチェックするためのプラグインがあります。

0:27:51.415,0:28:01.165
もし、どうしても野良プラグインであるとか、を使わなければならないっていう状況になった場合は、是非そのプラグインを一回通されるっていうことをオススメします。

0:28:02.977,0:28:09.816
いや〜いい話を聞きました。じゃあ私もちょっとそのプラグインチェックを通してみたいと思います。

0:28:09.816,0:28:14.075
茶番みたいになってますけど（笑）

0:28:14.075,0:28:16.384
公式のプラグインっていうと、

0:28:16.391,0:28:38.087
たとえば、AppleのiPhoneのプラグインとかは、結構厳しいチェックを受けて、審査を受けて、乗り越えていってると思いますけど、例えばその、AndroidのGoogle Playとかだと、チェック意外とされてないっていうふうな、まあ色々その、公式にもよって、厳しさって変わるんですけど、WordPressはどれくらなんですかね？

0:28:38.087,0:28:50.277
ぶっちゃけて言うと、WordPressは、かなりユルいんですね。残念なことに、セキュリティに関するチェックはしっかりコードを読んで、じゃあこのプラグインOKってやってるわけじゃなくて、

0:28:50.277,0:28:59.324
ざっとみていって、とりあえず公式にプラグインとしてはまあ、出すよ。で、後は使っているユーザーがちゃんと

0:28:59.324,0:29:17.366
フィードバックをして、最初はまあ別に完全じゃなくても、まあいろんな人が見て、いろんな人が使って、いろんな人がフィードバックすることによって最終的に本当に良いプラグインができればいいな、ということで、その最初から、完全なものが必ず公開されているわけではなくて、不完全なものもたくさんあります。残念ながら、

0:29:17.366,0:29:31.896
なので、使う人ひとりひとりが、WordPressを開発しているコミュニティの一員だということで、自分なりにできることをやりましょう、ということが、WordPressからの公式な見解と言っていいと思います。

0:29:31.896,0:29:41.177
テーマの方は公式テーマを上げるときは、かなりチェック厳しいですね。キチンとその、要はソースコードレビュー…

メモ

2014/12/27 日本語書き起こし実施。WordPress.tvにアップロード実施。