ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
WordPress初心者の皆さま、まさか「admin」アカウントは残してないよね?|More Access! More Fun
本日のエントリーは初心者限定とさせていだたきます。詳しい方は鼻で笑って切り込み隊長の「グリーの中国オフィス閉鎖」のネタでも読んでいてください。 わたくしが「アメブロやFC2で会社のブログを運用するのは馬鹿みたい」と言ってるのも0.1%くらいの影響力があるかもしれませんが、最近は日本でもWordPressの普及率が高くなっていて、いままでは「アメブロで儲ける」なんて言っていた情報商材とかインチキセミナーも手のひらを返したように「WordPress最高」と言っているようです。でも全然儲からないですから念のため。儲かるのはセミナー開催しているヤツだけです。 で、このWordPress、いまではだいたいのレンタルサーバーには簡単インストールが付いていまして、小学生でもインストールして使うことができます。中にはサーバのOSのバージョンが古くてセキュリティに問題のある古いバージョンのWordPress
Googleの中の人も使ってるらしいWordPressでGoogle2段階認証を使うプラグイン | アンギス
最近WordPressのログイン認証の総当り攻撃(ブルートフォースアタック)に関する記事をよく見ますね。 ブルートフォースアタック対策としてよく挙げられる2段階認証というものがあります。 ログインする際、その時だけ利用できるキーが発行されるので、それ携帯電話のアプリを通して取得して入力する方法です。 この方法ならIDとパスワードがあっていてもログインすることができませんし、本人が登録した携帯電話を持っていないとキーを入手することができません。 wordpress.comは2段階認証に対応しています。しかしインストール型のWordPressではデフォルトでは2段階認証はついていません。 それを実装するプラグインがあったので導入してみました。 米Googleで検索エンジンスパム対策を統括しているマット・カッツ氏もTwitterで「インストールしたで!」と言及。そんなプラグインです。 Just
【WordPress全ユーザー必読】最近のWPサイトに対する猛アタックの詳細と対策 - SEO Japan|アイオイクスのSEO・CV改善・Webサイト集客情報ブログ
無料で資料をダウンロード SEOサービスのご案内 専門のコンサルタントが貴社サイトのご要望・課題整理から施策の立案を行い、検索エンジンからの流入数向上を支援いたします。 無料ダウンロードする >> 日本では意外とニュースになっていませんが、世界のネット業界で今最も話題になっている問題がWordpressサイトに対する世界的な猛アタック。日本語サイトへのアタックは少ないかもしれませんが、やられてからでは遅いのも事実。この記事を読んでWPサイトへのアタックに関する現状と対処法を確認しておくべし。 — SEO Japan ワードプレスのサイトに対する大規模な攻撃が継続的に行われている。この攻撃は以前から行われているものの、先週、大幅に規模が拡大していた。 ウェブ上では、この状況に関する議論が至るところで行われているが、次の2つの理由でこの記事を作成する必要があると私は感じた 1. このサイトのコ
WordPressのadminユーザーを変更(削除)する方法。乗っ取られる前にセキュリティ強化!
この記事には広告を含む場合があります。 記事内で紹介する商品を購入することで、当サイトに売り上げの一部が還元されることがあります。 Wordpress Button Closeup / Titanas さきほど、「全世界のWordPressサイトに攻撃、adminユーザーが狙われている」という記事を見て驚きました。 攻撃者は「admin」のユーザーネームと、総当たり攻撃で見つけ出したパスワードを使って、Webサイトの管理用パネルを制御しようとしているという。 WordPress狙う大規模攻撃が発生、管理者アカウントを標的に – ITmedia エンタープライズ 何を隠そう、私も今までずっとadminユーザーで管理していた一人。攻撃を受けなくてラッキーでした。。。 これは今のうちにユーザー名を変えておかねば……ということでやり方を調べて変更完了。間に合った。 この記事では、WordPress
WordPress へのブルートフォースアタック対策: パスワード強化
今週 WordPress へのボットネットによるブルートフォースアタックに関する話題を耳にした方も多いかと思います。これについて、マットがブログで以下のように書いていました。 約3年前、インストールの際にカスタムユーザー名を選べる機能を含めた WordPress 3.0 をリリースしましたが、結局はまだ多くの方が「admin」デフォルトユーザー名として使っているというのが現状です。現在、すべてのWordPress を狙って「admin」ユーザー名と大量の一般的なパスワードを使ってログインを試みるボットネットが流行っており、ニュースになっています(特に、この問題への「ソリューション」を提供する会社がこれを話題にしています)。 僕がおすすめするのは、以下の方法です。 まだ「admin」というユーザー名を使っている場合は、変更しましょう。 強力なパスワードを使いましょう。 WordPress.c
WordPress のセキュリティ、こんな記事は要注意
WordPress ユーザーの間では季節行事になりつつある、WordPress をハッキングされたので、セキュリティを向上する方法を並べました、という怪しい記事がまたまた Twitter で拡散されていたので、どげんかせんといかん、と思っていたところ、WP-D のブルーさんが WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目 という記事を書いてくれました。 僕はこの通り遅筆ですから、先を越されちゃった形になったわけですが、だいぶ書き進めていたので、せっかくだからよくある怪しい記事の見分け方とその理由をご提示します。 題して、こんなことを書いている記事は信じちゃいけません! 最初に断っておきますが、ぼくはセキュリティの専門家でも闇プログラマーでもありません。ですが、記事のいわんとすることを冷静に考えてみることで、それが意味のない工程であったり、危険な行為である
WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
どうも、ブルーです。秋ですね。 季節がめぐるごとに「WordPressがクラックされたので、セキュリティ対策について調べてみました」的なブログ記事がソーシャル上で出まわり、そのたびにWordPressを扱うデベロッパー層が「また無意味な対策がはてブされてる…」と嘆くのが恒例行事のようになっております。例えば… 「WordPressのバージョンを隠す」 「データベースのプレフィクスを変更する」 「サブディレクトリーにインストールする」 うん、気休め程度かな… 「2年以上放置されている怪しげなセキュリティ対策プラグインを入れる」 そっちのほうがこええよ! 「サーバーのディレクトリー一覧の非表示」 それ見えちゃってるサーバー管理者では、何しても不安だよ! とはいえ、そう思いつつも「これが決定版だ!」的な記事を書くのは勇気がいるものです。特にセキュリティ業界は怖いお兄さんが多…うわ何をするやめr
ヤバイWordPressテーマを見分けるための方法 | Firegoby
前回、”free wordpress themes”って検索してテーマを探すと超ヤバイよ という記事を書きました。 お陰様でとても拡散したんですが、危険なテーマを見わけるための検証方法を伏せたのが裏目でちょっとあれだったので、それについて解説します。 Theme Authenticity Checker (TAC) によるチェック WordPress › Theme Authenticity Checker (TAC) « WordPress Plugins 結論から言いますが、このプラグインによるチェックでは不完全でした。 実際に “free wordpress themes” で Google 検索して出てくる1つ目(苦笑)の ”http://www.themesbase.com/” というサイトのテーマで検証してみましょう。 今回は、このサイトの一つ目で紹介されている Pioneer
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
