駆け出しデザイナー・エンジニアにこそ見ていただきたいWordPressの脆弱性とセキュリティ - Qiita
WordPressは世界で1番使用されているCMSかつオープンソースであるが故に、悪意のある第三者やプログラムから世界で1番攻撃されやすいCMSと言われています。 私自身も何度か攻撃を受けていて、実害に及ばなかったものから及んだものまで様々でした。クライアントの稼働しているWEBサイトに実害があった場合は、原因究明や報告、一次対応から恒久的対策までを行い、安全性を確保した上で再度稼働させる必要があり、その作業は簡単なものではありません。 被害があるのはクライアントだけではなく、そのサイトにアクセスしたユーザーに及びます。たとえ納品後の保守契約を結んでいなかったとしても、実装者の責任としてクライアント、ユーザーに安心して利用できるWEBサイトを目指さなければいけません。 私はセキュリティの専門家ではないもののWordPressを10年以上触っている中で様々な問題に当たり、対応してきました。そ
[技術] サーバーの引っ越しとアーキテクチャ変更、SSL暗号化(nginx と PHP-FPM)
サーバーエンジニアを行っているinamuuと言います。夏頃にお声がけをいただいてから、ご報告までしばし時間を要してしまいました。 この記事では、最近放置気味となっていた、専用サーバーからメンテナンス性、コスパの良いVPSサーバーへ移行、アップデート過程の作業ログとしてまとめています。 今回実施したことは、大きく分けて以下の3つです。 サーバーの引っ越しとアーキテクチャの簡略化 サイトのSSL暗号化 テスト環境の構築 サーバーの引っ越し もともと専用サーバーを使っており、メモリも大量に積んでいましたが、あまり使用されていなかったことから、VPSサーバーへの移行を実施しました。 スペックについては割愛しますが、専用サーバーへsysstatを導入し、しばらく様子を見て見積もりを実施しました。 次に、アーキテクチャーについては、下記ではnginx+Apache(mod_php)を採用されていました
![[技術] サーバーの引っ越しとアーキテクチャ変更、SSL暗号化(nginx と PHP-FPM)](https://cdn-ak-scissors.b.st-hatena.com/image/square/21280f17c2060fa7ae751f1d8f91b17a32c7028b/height=288;version=1;width=512/https%3A%2F%2Fphotoshopvip.net%2Fwp-content%2Fuploads%2F2020%2F11%2Fserver-upgrade-2020-1.jpg)
XSStrike - 公開前にチェック。CUIでXSSを見つける MOONGIFT
XSS(クロスサイトスクリプティング)はWebシステム開発者としては特に注意していることでしょう。今なお、大事なファイルが平文で保存されていたとか、脆弱性をついてユーザデータをすべて抜き取られたといった問題はXSSによって起こされています。 そんなXSSをチェックできるのがXSStrikeです。XSStrikeを使ってテストすることでセキュアなWebサイトを実現できるでしょう。 XSStrikeの使い方 XSStrikeはURLとパラメータなどを送信して、XSSが認められないか確認します。 $ python xsstrike.py --url https://www.moongift.jp/ --data q=test XSStrike v3.0.5 Checking for DOM vulnerabilities WAF Status: Offline Testing parameter
ひと昔前といろいろ違う、Webサイトを公開した時に確認しておきたい項目のまとめ -Web Launch Checklist
Webサイトを公開した時に、サイトのパフォーマンス、SEO、セキュリティ、アクセシビリティ、コンテンツ、機能性の面から確認しておきたい項目がまとめられたチェックリストを紹介します。 2017年、最近のWebのテクノロジーや制作事情をふまえたものとなっており、ひと昔前とはいろいろ変化しています。 イラスト: Girls Design Materials 「Web Launch Checklist」は2017年最近のWeb制作事情をふまえて、サイト公開時の確認事項をまとめたものです。 確認項目は6つにカテゴリ分けされており、それぞれ最新の動向が取り入れられたものとなっています。 Web Launch Checklist Web Launch Checklist -GitHub そのまま利用してもよし、また編集して自分用のリストを作成することもできます。 パフォーマンスで確認したい項目 SEOで
パスワードがどのくらいの時間でクラックされてしまうかチェックできるオンラインサービス -How Secure Is My Password?
パスワードがどのくらいの時間でクラックされてしまうかチェックできるオンラインサービス -How Secure Is My Password?
HASHコンサルティング徳丸浩の日記 - 自分でできる - 「かんたんログイン」DNSリバインディング耐性のチェック方法
■「かんたんログイン」DNSリバインディング耐性のチェック方法 このエントリでは、ケータイ向けWebサイトがDNSリバインディング攻撃に対する防御耐性があるかどうかをチェックする方法を説明します。ケータイ向けに「かんたんログイン」機能をもつWebサイトをチェック対象とします。 基本的な前提として、検査対象のWebサイトの管理者が自ら検査することを想定しています。 用意するもの チェック対象のWebアプリケーション(かんたんログイン機能あり) 携帯電話(かんたんログイン可能なもの) インターネット接続されたパソコン ステップ0:IPアドレスの調査 検査対象のWebサーバーのIPアドレスを調べます。一例として、検査対象サーバーのホスト名が mobile.example.com の場合、以下のコマンドでIPアドレスを調べることができます。 C:>nslookup mobile.example.
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WordPress推しブログ – ねたわん
