WordCamp 2019 Tokyoに行ってきたよ

2019/11/02に開催されたWordCamp 2019 Tokyoのセッションデイに参加してきました。
セキュリティ業界のカンファレンスにはたまに参加することがありますが、WordCampだけでなくWeb業界のカンファレンス自体も初参加でした。

・セッションを聴講したよ
参加目的のメインはSucuriのセキュリティに関するセッションを聞くこと。
英語セッションでしたが、同時通訳とUDTALKの翻訳があるのは助かります。

序盤はセキュリティ全般的な話やWebセキュリティの話から始まってWordPressの話に移り、中盤はハッキング事例として、フッィングサイトが構築された事例、リダイレクトを仕込まれた事例、DDoSのボットネットに組み込まれた事例が紹介されていました。後半はハッキングされた場合にどうしたら気が付けるかといった方法や、各レイヤーでの対策方法の紹介がありました。自分でできる対策として、Sucuri SiteCheckが紹介されていたのは独自性のあるところかなと思います。

後日、発表資料と講演の映像が上がるみたいなので、WordPressのセキュリティに関心のある方には勉強になるかと思いますので、ご覧になってみてください。

／
I’ve been hacked! So, now, what??
＼

ルームSpade(K)でNéstor Angulo de Ugarteさんのセッションが行われているよ

#wctokyo pic.twitter.com/BbASMe6MKt

— WordCamp Tokyo【公式】/ 2019.11.1[Fri]-2[Sat] (@wctokyo) November 2, 2019

・スポンサーブースを回ったよ
スポンサーブースでは、プラグインやテーマのマーケットを提供している企業にセキュリティ審査あるの？とか、ホスティング会社に裏側でどんなセキュリティ対策してますか？とか、一般の参加者がしないような質問をして困らせたりしましたが、お金にならない非WordPress商用利用者相手にも、各ブース快く対応していただきありがとうございました。

ホスティング会社さんからは常時SSLの話を多く聞きましたが、Web業界的には目的としてSEO対策が大きいんだなというのを実感しました。利用者にとって暗号化してどうのこうのってのは手段であって目的ではないことは念頭に置いておかないといけないですね。

スポンサーブースの中で気になったのはShifterというホスティングサービスです。WordPressサイトを静的コンテンツに変換するものですが、コンテンツの更新自体はShifter上の動的なWordPressコンテナから行うため、WordPressの利便性を損なわずにセキュリティを担保することができます。放置されたWordPressサイトが侵害される事例は沢山見ているので、あまりコンテンツを更新しないサイトにはうってつけだなぁと思いました。


・図書館があったよ
交流ゾーンの図書展示に「WordPressセキュリティ大全」という昨月発売されたばかりのWordPressセキュリティ本が立ち読みできたので、ちらっと読んできました。
サーバやミドルウェアの設定に関してはOWASP Wordpress Security Implementation Guidelineの方が詳しいのかな？と思いましたが、WordPress自体のセキュリティ対策については、パスワードの設定をはじめ、セキュリティ対策プラグインの紹介まで一通り書かれていた印象です。

著者のセッションが午前にありましたが、朝起きられず聴けませんでした😰

WordPressセキュリティ大全

・ノベルティをもらったよ
ノベルティたくさんもらいました。参加費の2000円分以上な気が。
スタンプラリーはバンカーリングが当たりました！

・おわりに
開発者でも一般的な利用者でもない微妙な立場での参加でしたが、WordPressの知見を広げるのに良いイベントでした。たまには仕事じゃなくてプライベートで気楽に技術系のイベントに参加するのも楽しいかなぁと思った1日でした。おしまい。