WordPress で Web サイトの制作を請け負って保守契約も結ぶときに意識しておいたほうが良い5つのこと
反応をウォッチしていると「WordPress を導入する場合、セキュリティを考えると当然システム保守契約を結んで保守することが必要」という意見がちらほらあって、僕としてもそれは当然のことでむしろやっていない人は作成した後えらいことになってないのか少し心配になったりしてしまうのですが、じゃあクライアントと保守契約を結べたとしてどういうことに気をつけたほうが良いかということを少し書いてみたいと思います。 コア・プラグインのアップデートは必ず実施する 大前提すぎてあれなのですが、セキュリティを維持して攻撃を防ぐためにお客様にシステム保守契約を結んでいただくわけなので、コアやプラグインのバージョンアップは必ず行わないといけません。企業さんのサイト制作の場合だとテーマはオリジナルのことが多いと思いますが、テーマも自作でないのであればきちんとアップデートするべきです。 「コアの自動アップデートをとめる
WordPressを巡る理想と現実、あるいは誤解
ブコメでもすでに色々言われていて、自分のFacebookのタイムラインでも軒並み言及されているので、触れたくない理由は色々あるのだが、CMSで仕事をしている以上、反応しとかないといかんかなと思って筆を取る。そう、この件だ。 WordPressで「ささっと作る」で請けれなくなってる現状。 まとめると、WordPressは作り手にとっても楽に作れて、ウェブサイトを持ちたい人にとってもイニシャルコスト・ランニングコストともに安く済ませられる、みんながハッピーなツールだったはずが、そうではなくなってきた、と言う話。そうではなくなってきた根拠は何かと言うと、セキュリティ対応と管理画面の使いにくさ、カスタマイズ範囲の肥大化、の3点があるようだ。 セキュリティ対応は必要ですし、ランニングコストもかかります セキュリティ対応については、WordPressの導入によく使ってきたロリポップサーバーでWordP
WordPressの運用上のセキュリティについて考えよう | Gatespace's Blog
以前、このブログで「WordPressの管理画面に制限をかける(ver3.5.1)」という記事を書いたのですが、もうちょっと視野を広げて WordPress を設置・運用するに当たってセキュリティはどうしたら良いのか、ということを書きます。 大前提として、 使用者のPCがウィルス対策ソフトなどを入れている。 Webサーバーの作りがしっかりしている。(ディレクトリの中身が見えるとか共用サーバーで他人のディレクトリにアクセス出来るとかSQLサーバーの作りがお粗末とかは問題外) パーミッションちゃんとしましょうね(パーミッションはWebサーバーとそのユーザーによって推奨の設定が変わるのでこの記事では追求しません) はあげておきます。 2017.2.7 update プラグインの事追記 1. Webサーバーとサイトの構成を見直す 最初から WordPress と関係無くなってしまいますが、そもそも
WordPressはメンテナンスが大事!改ざんされたサイトを復旧させるまでの道のり - WP-E (仮)
はじまりはGoogleの通告から 知り合いの制作者さん経由で、ある日私のところにこんなメールが届きました。 差出人は、個人でWordPressブログを書いている方です。 メールの内容は以下。 実は、少し前から気になっていたのですが、私のブログをグーグルで出そうとすると、 「このサイトは、第三者にハッキングされている可能性があります」と表示されます。 普段、自分では、ブログへはブックマークから入りますので、たまにしか目にしないので放置してしまっていましたが、 今日、また見て、HPの他のページには表示されないのに、ブログにだけ表示されるのが、非常に気になります。 「非常に気になります」なんて呑気に言ってる場合じゃないでしょ・・・ なんですぐ対処しなかったの!と叫びたい気持ちを抑えて、まずはサイトのソースを見てみました。 ソースコードを見てみると・・・ なんじゃこりゃー!! 海外の薬品販売サイト
ロリポップの一連の改ざんトラブルで大変なことになった僕の記録 - すしぱくの楽しければいいのです。
公開日:2013年9月 5日 カテゴリ:Web制作に役立つネタ ぱくたそサーバー(Pleskなど)のヘルプデスクをお願いしているエンジニアの方と『サーバーを借りる際、「サポートだけにはしっかり費用が払える」を目安にしたいですよねー。』などと、安さ爆発のロリポップをつまみに盛り上がっていたら、『いやぁ、あのトラブルは本当に大変でした・・・』っという苦労話が実によくあるケースだったので、警鐘を兼ねて寄稿していただきました。('A')ノ ロリポップ大規模DB改ざんについて 寄稿のお話の前に、今回発生したロリポップ大規模DB改ざんを簡単にまとめると。 【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます | More Access! More Fun! サイトが改竄されている → WPサイトが乗っ取られてる?脆弱性か? → ロリポップ公式から「ハッキングされ
ノンプログラマーのための WordPressセキュリティ入門
ノンプログラマーのための WordPress セキュリティ入門 2013/08/31 WordFes 2013 in Nagoya 宮内 隆行 @miya0001 http://bit.ly/wordfes 自己紹介 和歌山県の串本町というところから来ました! 実は愛知県の大府市出身です! プラグインを作って公式ディレクトリで公開しています。 http://profiles.wordpress.org/miyauchi このスライドは以下のプラグインで作りました。 http://firegoby.jp/wp/presenpress 今日のおはなし WordPressを安全に運用するための ノウハウについてお話します! プログラミングの話はしないです! 主にレンタルサーバーを想定したお話です。 初心者のみなさんを対象にしたお話です。 パーミッションのお話 なにはともあれ安全
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
GMO ロリポップ不正アクセス騒動をまとめてみた。(メモ) - ハニーポッターの部屋
昨日から、Wordpress関係のWeb改竄がJPドメインに対して行われています。低価格のblogサービスを提供しているサイトのロリポップやGMOのInterQなどが被害を受けているようです。 原因は.htaccessとwp-config.phpの初期パーミッションが ◆.htaccess → 644 ◆wp-config.php → 444 だったようなので、同一サーバ内のユーザが侵入された場合、他のユーザの情報も閲覧可能であったため、wp-config.phpからDB情報(table名、ユーザID、パスワード)を取得して各ユーザのDBに不正アクセスしたのではないかと思われます。 公式見解が出ていないため、あくまで推測です。 最終的に ◆.htaccess → 644→604→600 ◆wp-config.php → 444→404→400 へアクセス権を変更したようですが、それでも、不
【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます|More Access! More Fun
さきほどWordPressフォーラム見てましたら、ぞっとするようなトピが立ちました。 サイト改ざん? http://ja.forums.wordpress.org/topic/24503 サイトが急に文字化けになり、困っております;; Hacked by Krad Xinと黒の上部ツールバーにあり、サイトが改ざんされてしまったのでしょうか? ハッカーの声明リストを見ると、日本のサーバで乗っ取った宣言のがずらり これはほんの一部です。おそらく数千、数万の被害が。 ※追記 DN乗っ取りでなければ数百〜千単位で済むかもしれないですが・・ただ攻撃は28日深夜から29日朝にかけても続き、被害は増大しています。 8/29 11時のリリースだと4802件だそうです。 くれぐれもリストにあるところは見に行かないように・・・感染してしまう可能性があります!! でもってドメインを検索して見ると、ほとんどがロリ
続) ロリポップのWordPress大量乗っ取りについての推測と対応
昨晩、すでに寝ていましたら、GMO総帥の熊谷氏からツイート来てました。埋もれてて気づかなかったのですが友人が教えてくれました。倉持さん、ありがとう。 株価についてはブログには書いてないのですが、つい口が滑ってツイートしてしまいました。申し訳ございません。m(_ _)m しかしながら、事実でなかったらという意味が分かりません。ブログのタイトルも内容もGMO運用のサーバで大量のWordPressの乗っ取りが発生している」ということで事実を確認してから書いてます。その理由としてWordPressフォーラムに複数の被害者から投稿された内容から推測して、「これだけ一度に大量の乗っ取られるということはDB侵入の可能性がある」とあくまで可能性について触れただけです。これは誰もが同じ推測をしたわけで、WordPressフォーラムでも同様に言及されております。いらだちの気持ちはわかりますが、わたしに怒りをぶ
WordPressのプラグインのセキュリティについて、少し真面目な話をします。
WordPressのプラグインのセキュリティについて、少し真面目な話をします。 2013.07.12 | 考える。 セキュリティ ども、最近でしゃばりすぎじゃないかという噂もあるブルーです。ヴァイオレットさんが書いた記事「なぜexec-PHPがモテるのか」も多少火種になりまして、TwitterやFacebookの観測範囲では、Exec-PHPプラグインについての様々な話題が挙がっていたように思います。このプラグインは、WordPressの投稿画面では、通常PHPのプログラムコードを入力してもセキュリティの観点から削除されますが、それを削除せず、表示の際にコードを実行するというプラグインです。 あえて個別を取り上げることはしませんが、個人的に気になったのは、危険性を啓蒙する記事の一方では、下記のような意見を持つ方も多そうだということです。 「上級者はセキュリティについてもよく分かってるっぽい
WordPress のセキュリティ、こんな記事は要注意
WordPress ユーザーの間では季節行事になりつつある、WordPress をハッキングされたので、セキュリティを向上する方法を並べました、という怪しい記事がまたまた Twitter で拡散されていたので、どげんかせんといかん、と思っていたところ、WP-D のブルーさんが WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目 という記事を書いてくれました。 僕はこの通り遅筆ですから、先を越されちゃった形になったわけですが、だいぶ書き進めていたので、せっかくだからよくある怪しい記事の見分け方とその理由をご提示します。 題して、こんなことを書いている記事は信じちゃいけません! 最初に断っておきますが、ぼくはセキュリティの専門家でも闇プログラマーでもありません。ですが、記事のいわんとすることを冷静に考えてみることで、それが意味のない工程であったり、危険な行為である
WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
どうも、ブルーです。秋ですね。 季節がめぐるごとに「WordPressがクラックされたので、セキュリティ対策について調べてみました」的なブログ記事がソーシャル上で出まわり、そのたびにWordPressを扱うデベロッパー層が「また無意味な対策がはてブされてる…」と嘆くのが恒例行事のようになっております。例えば… 「WordPressのバージョンを隠す」 「データベースのプレフィクスを変更する」 「サブディレクトリーにインストールする」 うん、気休め程度かな… 「2年以上放置されている怪しげなセキュリティ対策プラグインを入れる」 そっちのほうがこええよ! 「サーバーのディレクトリー一覧の非表示」 それ見えちゃってるサーバー管理者では、何しても不安だよ! とはいえ、そう思いつつも「これが決定版だ!」的な記事を書くのは勇気がいるものです。特にセキュリティ業界は怖いお兄さんが多…うわ何をするやめr
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
