WordPressの侵入対策は脆弱性管理とパスワード管理を中心に考えよう
この記事はWordPress Advent Calendar 2015の7日目の記事です。 今年初めてWordCamp Tokyoにて講演の機会をいただき、WordPressのセキュリティについて話しました(スライド)。そこでもお話ししましたが、WordPressに限らず、Webサイトへの侵入経路は2種類しかありません。それは以下の2つです。 ソフトウェアの脆弱性を悪用される 認証を突破される したがって、侵入対策としては以下が重要になります。 全てのソフトウェア(OS、Apache等、PHP、WordPress本体、プラグイン、テーマ等)を最新の状態に保つ パスワードを強固なものにする 以上! と叫びたい気分ですが、それではシンプル過ぎると思いますので、以下、WordCampでお話した内容とリンクしながら、もう少し細く説明したいと思います。 全てのソフトウェアを最新の状態に保つ Word
IP Geo Block
このプラグインは WordPress の最新3回のメジャーリリースに対してテストされていません。もうメンテナンスやサポートがされていないかもしれず、最新バージョンの WordPress で使用した場合は互換性の問題が発生する可能性があります。 説明 The more you install themes and plugins, the more likely your sites will be vulnerable, even if you securely harden your sites. While WordPress.org provides excellent resources, themes and plugins may often get vulnerable due to developers’ human factors such as lack of secu
WordPressの5つの主要セキュリティプラグインを詳細に比較してみた | 株式会社LIG(リグ)|DX支援・システム開発・Web制作
どうもコンニチワ、セミの鳴く季節に突入し、ますます外出したくないライターのモリイです。 本業ではWordPress専用のセキュリティ診断サービスを運営しているため、常日頃からWordPressユーザーの皆様のお役に立つセキュリティ対策を提供することを心掛けているのですが、みなさまがよく利用されているセキュリティpluginについては、以下のようなお悩みをよく耳にします。 「何ができるのか?」 「何ができないのか?」 「何が不足してどうすれば補うことができるのか?」 そこで、上記の内容について、以下でまとめてみました。今回の検証はかなり時間を要するものになりましたが、ご覧いただければ幸いです。 なお、今回検証したWordPress、およびセキュリティ対策プラグインのバージョンは以下のとおりです。(2014/07/22現在) WordPressバージョンやpluginバージョンにより設定可能な
DoSの踏み台にされているJPドメインのWordPressをまとめてみた - piyolog
Krebsが自分のサイト(KrebsOnSecurity)に対して41,000超のWebサイトからDoSを受けていると報告しています。 このDoSはWoredpressのpingbackを悪用したものらしく、先日、Sucuriもpingback機能を悪用したDoSについて報告していました。 More Than 162,000 WordPress Sites Used for Distributed Denial of Service Attack WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用 - ITmedia エンタープライズ pingbackを悪用したDoS方法 pingbackはハイパーリンクを設置したことを通知する仕組みですが、リモート投稿(XMLRPC)の機能(WordPressのxmlrpc.php)に対して次のPOSTを送信するとそのW
WordPressへの不正アクセスログを記録して見せてくれるプラグイン Crazy Bone
WordPressへの不正アクセスログを記録して見せてくれるプラグイン Crazy Bone 2013年05月11日 17:54WordPress 実際つかってみたら、面白いくらい大量に釣れた。 WordPress を狙ったブルートフォースアタック 最近、WordPress の admin ユーザーを狙った ブルートフォースアタック(総当たり攻撃)がよく話題になりますね。 WordPress へのブルートフォースアタック対策: パスワード強化 – ja.naoko.cc 要するに、ID とパスワードの組み合わせを 片っ端から総当たり式に試してみるという攻撃。 特に WordPress 3.0より前は デフォルトの管理ユーザー名が admin だったので、 admin という名前のユーザーがいると想定して それに対して大量の総当たり攻撃を仕掛けている輩がいるようです。 Crazy Bone
【WordPress全ユーザー必読】最近のWPサイトに対する猛アタックの詳細と対策 - SEO Japan|アイオイクスのSEO・CV改善・Webサイト集客情報ブログ
無料で資料をダウンロード SEOサービスのご案内 専門のコンサルタントが貴社サイトのご要望・課題整理から施策の立案を行い、検索エンジンからの流入数向上を支援いたします。 無料ダウンロードする >> 日本では意外とニュースになっていませんが、世界のネット業界で今最も話題になっている問題がWordpressサイトに対する世界的な猛アタック。日本語サイトへのアタックは少ないかもしれませんが、やられてからでは遅いのも事実。この記事を読んでWPサイトへのアタックに関する現状と対処法を確認しておくべし。 — SEO Japan ワードプレスのサイトに対する大規模な攻撃が継続的に行われている。この攻撃は以前から行われているものの、先週、大幅に規模が拡大していた。 ウェブ上では、この状況に関する議論が至るところで行われているが、次の2つの理由でこの記事を作成する必要があると私は感じた 1. このサイトのコ
WordPress: 管理画面への不正アクセスを予防する「Simple Login Lockdown」 | Hinemosu
WordPress管理画面への不正アクセスを予防するプラグイン「Simple Login Lockdown」を使ってみました。 「Simple Login Lockdown」について 「Simple Login Lockdown」は、パスワード総当たり攻撃に対抗するプラグインです。 標準的な構成のWordPressでは、ログイン画面のアドレスや管理ユーザー名が推察しやすいため、自動化プログラムを用いた総当たり攻撃により、パスワードが盗まれやすいと言った弱点があります。 「Simple Login Lockdown」は、同一IPアドレスからの連続ログイン失敗を検出すると、該当IPアドレスから一定時間ログインできないようします。 これにより攻撃側の時間を浪費させ、管理者が対策する時間を稼げるようになります。 「Simple Login Lockdown」のインストール 「Simple Logi
不適切な脆弱性情報ハンドリングが生んだ WordPress プラグイン cforms II のゼロデイ脆弱性 - co3k.org
2012/02/15、 JVN から JVN#35256978: cforms II におけるクロスサイトスクリプティングの脆弱性 が公開されました。これはクレジットされているとおり、海老原と、同僚の渡辺優也君が勤務中に発見した脆弱性です。 脆弱性自体はどこにでもあるような普通の XSS ですが、実はこの脆弱性、 2010 年 10 月に exploit コードが公開され、それから 1 年 4 ヶ月後の 2012 年 2 月まで修正版が提供されていなかったものです。 このような危険な状態が長期間続いていたのには、様々な理由があります。ここでは、その説明と、どうすれば事態が防げたかということについて検討したいと思います。 脆弱性の概要 本題に入る前に、主に cforms II のユーザ向けに脆弱性自体の概要についてざっくり説明します。前述のとおり、未修正の状態で exploit コードが公開
AntiVirus
Description AntiVirus is an easy-to-use, safe tool to harden your WordPress site against exploits, malware and spam injections. You can configure AntiVirus to perform an automated daily scan of your theme files. If the plugin detects any suspicious code injections, it will send out a notification to a previously configured e-mail address. In case your WordPress site has been hacked, AntiVirus will
WordPress 日本語版用 Exploit Scanner ハッシュファイル
日本語版用 Exploit Scanner ハッシュファイルの配布は停止いたしました。現在、WordPress 英語版と日本語版の差異はほとんどないためプラグインに含まれている英語版用のハッシュファイルをそのまま利用しても実用には大きな問題はないと思われます。 2015/9/12 更新 — WordPress Exploit Scanner は、WordPress コアファイルの改竄発見機能を持ったプラグインです。プラグインパッケージに含まれるファイル比較用ハッシュファイルは WordPress 英語版のみの対応となるため、下記より WordPress 日本語版用のハッシュファイルを提供いたします。 WordPress 日本語版用 Exploit Scanner ハッシュファイルのダウンロード WordPress 日本語版用ハッシュファイルの MD5: hashes-3.6.php の M
WordPressのセキュリティ関連のプラグイン28個 – わーどぷれすっ!!
WordPressの公式プラグインディレクトリでセキュリティのタグが付いているプラグインからめぼしいものをご紹介。 いやはや、はじめ5個くらい紹介するつもりが調べ出したら興味深いプラグインがぞろぞろとw。 自分で使ってるのはLogin LockDownとAntiVirusくらいなんで、ぜひ使い心地をコメントでお知らせくだされ! また、他にも良さそうなのがあったらお知らせくだされ! WordPress File Monitor Plus WordPressのファイルが改変、追加、削除されたらメールで知らせてくれるプラグイン。 Force Strong Passwords WordPressのデフォルトではパスワード変更時にそのパスワードの強度を表示してくれるが、弱い(簡単な)パスワードを受け付けないようにするわけではない。このプラグインはパスワードの変更時に一定以上の強度のパスワードではない
WordPressのログインURL(wp-login.php)をサクッと変更できるプラグイン・Stealth Loginでプチセキュリティ強化 - かちびと.net
WordPressのログインURLは何もしなければ 知っている方にはバレバレです。個人サイト なら気になりませんが、納品物だと少し不安 ではあるかなと思います。URLを変更するには .htaccessを触る必要がありますが、ハードル が高かったりして手を出せない方もいるかと思 います。 少し前にWordPressを使ってWeb制作をする為の手順リストっていう記事を書いたんですが、この中で紹介したプラグインが便利なのにまだ知名度が低い印象なので改めてご紹介。 WordPressで構築されているサイトのログインURLは基本的にhttp://domain.com/wp-login.phpで共通なので、知ってる人にはバレバレ。これはちょっと気持ち悪いので変更したいところです。 変えるには.htaccessにrewriteコードを追記するんですが、慣れていないと若干ハードルが高い印象です。これを、直
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
