WordCamp Kansai 2015 2015/07/26
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
WordCamp Kansai 2015 2015/07/26
Wordpressのセキュリティ対策でしておくべき10の項目
WordPressは、オープンソースで最も有名なコンテンツマネジメントシステムです。 ですが、オープンソースなので、脆弱性が発見されやすく、ハッカーの標的になりやすい。といった特徴もあります。 その為、WordPressを利用しているサイト運営者は、セキュリティ上の問題を決して軽視せず、自ら対策を講じなければなりません。 今回の記事では、この「対策内容」を、11にまとめました(下記) テーマやプラグインは、Wordpress公式のものを利用する WordPress本体やテーマ・プラグインは、最新版にしておく WordPressのバージョン情報について 「wp-config.php」を、アクセス不可に設定する データベーステーブルのプレフィックスを、デフォルト値から変更する 「Akismet」プラグインを利用して、スパムコメント対策をする ブルートフォースアタック(総当たり攻撃)への4つの対
WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
どうも、ブルーです。秋ですね。 季節がめぐるごとに「WordPressがクラックされたので、セキュリティ対策について調べてみました」的なブログ記事がソーシャル上で出まわり、そのたびにWordPressを扱うデベロッパー層が「また無意味な対策がはてブされてる…」と嘆くのが恒例行事のようになっております。例えば… 「WordPressのバージョンを隠す」 「データベースのプレフィクスを変更する」 「サブディレクトリーにインストールする」 うん、気休め程度かな… 「2年以上放置されている怪しげなセキュリティ対策プラグインを入れる」 そっちのほうがこええよ! 「サーバーのディレクトリー一覧の非表示」 それ見えちゃってるサーバー管理者では、何しても不安だよ! とはいえ、そう思いつつも「これが決定版だ!」的な記事を書くのは勇気がいるものです。特にセキュリティ業界は怖いお兄さんが多…うわ何をするやめr
ヤバイWordPressテーマを見分けるための方法 | Firegoby
前回、”free wordpress themes”って検索してテーマを探すと超ヤバイよ という記事を書きました。 お陰様でとても拡散したんですが、危険なテーマを見わけるための検証方法を伏せたのが裏目でちょっとあれだったので、それについて解説します。 Theme Authenticity Checker (TAC) によるチェック WordPress › Theme Authenticity Checker (TAC) « WordPress Plugins 結論から言いますが、このプラグインによるチェックでは不完全でした。 実際に “free wordpress themes” で Google 検索して出てくる1つ目(苦笑)の ”http://www.themesbase.com/” というサイトのテーマで検証してみましょう。 今回は、このサイトの一つ目で紹介されている Pioneer
Reutersの公式Twitter乗っ取り事件、WordPressの旧バージョン利用が原因か
「Reutersのような組織が古くなったセキュアでないバージョンを使っていたとすれば、責任は他ならぬ自分たちにある」とセキュリティ企業が指摘している。 米Reuters Newsの公式Twitterアカウントが乗っ取られ、デマが掲載された問題で、同社がオープンソースのブログソフト「WordPress」の古いバージョンを更新しないまま使い続けていたことが分かった。セキュリティ企業のSophosがWall Street Journalの報道を引用して8月7日のブログで伝えている。 それによると、Reutersが使っていたのはWordPressの現行バージョン「3.4.1」ではなく、旧バージョンの「3.1.1」だったという。このバージョンには多数の脆弱性があることが分かっており、こうした脆弱性を悪用されてアカウントが乗っ取られたとみられる。 WordPressプラットフォームではユーザーに更新を
WordPressのプラグインに悪質なコードが混入
オープンソースのブログ作成ソフト「WordPress」向けの人気プラグインに悪質なコードが仕込まれているのが見つかり、開発チームがWordPress.orgの全ユーザーにパスワードのリセットを促している。 WordPress.orgのブログによると、複数のプラグインに不審な動作が見られたため調べたところ、「AddThis」「WPtouch」「W3 Total Cache」の各プラグインから、巧妙な手口で隠されたバックドアが見つかった。バックドアを仕込んだのは各プラグインの作者ではないと開発チームは見ている。 問題の発覚を受けて、これらプラグインは提供を中止するとともに、アップデートをプッシュ配信する措置を取った。プラグインのリポジトリは一時的に閉鎖し、問題のあるプラグインがほかにないかどうかを調べているという。 どのような経緯でバックドアが混入したのかは現時点では不明だが、予防的措置として
WordPress.comに不正アクセス、ソースコードなどの情報が流出
WordPress.comを運営するAutomatticのサーバが不正アクセスされ、ソースコードが「社外秘」の部分も含めて流出した恐れがあるという。 大手ブログサービスWordPress.comを運営するAutomatticは4月13日、同社のサーバ数台にrootレベルの不正アクセスがあり、ソースコードなどの情報が流出した恐れがあると発表した。 同社によると、サーバに置かれていたあらゆる情報が流出した可能性があるが、ソースコードについてはコピーされた形跡があるという。ソースコードの大部分はオープンソースだが、同社およびパートナーの社外秘情報もあったとしている。 現在、ログや記録をチェックしてどの程度の情報が流出したのかを調べるとともに、再発防止のためのセキュリティ対策を講じているが、ソースコード以外の情報の流出は「限定的」だと同社は強調している。 WordPress.comのサービスは、各
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
