WordBench東京 7月勉強会「夏のLT大会！」『WordPress とバックアップの話』

WordPressとバックアップの話

＠WordBench東京 7⽉勉強会 LT

2017年7⽉23⽇JPCERT Coordination Center久保正樹

Copyright ©2016 JPCERT/CC All rights reserved.

About Me• 久保正樹 (くぼまさき)

• 脆弱性のコーディネーター

• Internet Week 2017 プログラム委員

• セキュアコーディング関連の翻訳

1


What we do at JPCERT/CCインシデント̶報告の受付̶対応⽀援（分析）̶情報共有

脆弱性̶開発者との調整̶脆弱性アドバイザリの公表

国際間連携

2


最近の事案発⾒者• フリージャーナリストHanno Böck ⽒

• from Berlin, Germany• 在野の脆弱性研究者• サーバのシステム管理も

内容• 2,000 サイトでDBのダンプファイルがドキュメントルー

ト配下に保存されていた• 20万件の転居データ（ドイツ）• 60万件の薬の購買履歴（オーストラリア）• ⽇本のサイトも

3


ドイツメディアでの報道 (2017-07-05)

4

https://www.umziehen.de/dump.sql


通知してわかったこと原因は2つ

1. サーバ移⾏時にDBのダンプファイルをドキュメントルートに設置．作業完了後に削除し忘れた

2. バックアップをドキュメントルートに格納していた

え？どういうこと？

5


WordPress のバックアップツールといえば

6

https://japan.norton.com/wordpress-backup-6384


BackWPup

7


オススメの「フォルダにバックアップ」

8

https://japan.norton.com/wordpress-backup-6384


BackWPup を試してみました

9


バックアップの保存先

10

htdocs/wordpress/wp-content/uploads/backwpup-69f694-backups/


バックアップファイルのパーミッション

11

バックアップフォルダは外部公開されないよう.htaccessでアクセス制御されている

Copyright ©2016 JPCERT/CC All rights reserved.12

ほかのプラグインは⼤丈夫？


調べてみました！（ごく⼀部のみをご紹介）


プラグイン名バージョン ActiveInstall ドキュメントルートへ保存アクセス制御備考

UpdraftPlusBackup/Restore

1.13.4 100万+ ありwordpress/wp-content/updraft

ダウンロード不可(.htaccess)

All-in-One WP Migration

6.53 600,000+ ありwordpress/wp-content/ai1wm-backups

ダウンロード可(localhost-wordpress-20170721-065952-250.wpress)

ファイル名を推測する必要がある

Backup 1.1.46 90,000+ ありwp-content/uploads/backup-guard


Backup by Supsystic

2.0.11 3,000+ ありwp-content/upsupsystic/backup_2017_07_21-09_27_09_id1.sql

ダウンロード可(.htaccessはあるものの，バックアップファイル .sqlはアクセス制限されてない）

ファイル名を推測する必要あり

Backup Database

4.5.4 2,000+ ありwp-content/uploads/backup-database/Jul-21-2017-95017-bak.zip


BackUpWordPress

3.6.4 200,000+ ありwp-content/backupwordpress-9b831433ee-backups


CYAN Backup 2.3 2,000+ なし/var/folders/rp/z0kt06xn4gbcn3hh8gb8syvw0000gn/T

ダウンロード不可


まとめ

バックアップファイル（バックアップツール）をうっかり公開していないか，いま⼀度確認を！

プラグインでバックアップする場合は，バックアップ先とアクセス制御を確認しましょう

15