決算発表が出ないことを怪しんでストップ高まで買われたエックスネット、TOBされるどころか逆に資本提携解消で切られて過剰にお金が流出するお笑い劇場に
![GMOグループのクラックわっしょい祭、永江一石氏「クラックされてるよ」→熊谷社長「されてないWPが悪い」→石森大貴氏「侵入経路分かったWP関係ない」 : 市況かぶ全力2階建](https://cdn-ak-scissors.b.st-hatena.com/image/square/725819b91903b42a9ac19edf8f489e17927a8066/height=288;version=1;width=512/https%3A%2F%2Flivedoor.blogimg.jp%2Fmasorira-kabu%2Fimgs%2F9%2F6%2F96dda6da-s.png)
既に判明しているだけでも被害は4,802件! 巷では責任の所在を巡って賑わっていますが、ロリポップ!でWordPressサイトを運営している身としては、そんな場合ではありません。 しかし対策を取ろうにも情報が錯綜していたので、セキュリティ対策ついてまとめました。 重要度の高いものから順番に解説していきます。 ユーザー名とパスワードを変更する まずこれをしないと始まりません。最重要項目です。 以下の点に注意して新しいIDとパスワードを作成してください。 1.パスワードの長さは12文字以上 2.辞書に載っているような単語を避ける 3.大文字小文字や記号・数字を組み合わせる 4.一意(ユニーク)なパスワードを付ける 5.adminやuserなどの推測されやすいIDを避ける(できればサイト名やユーザー名も避けたほうが無難です。) 1から3までは常識ですが、4と5はどうでしょうか? そのパスワードは
If you are developing WordPress plugins (or themes) for distribution via WordPress.org, or for client projects, it should be a no-brainer that writing insecure code can lead to severe consequences. Having your plugin pulled from the repository, seeing a loss in respect and end-user confidence, or even worse, seeing users fall victim to easily preventable attacks are all possibilities if plugin sec
私は検証用にいくつかのドメイン名を登録していますが、そのうちの一つが「発掘」され、世間をお騒がせすることになってしまいました。 このページのページビューは、8月16日(金) 9:00現在で、31438となっています。ずいぶんよく参照されています。ちなみに、「本物の」町田市のホームページは下記の通りです。 しかし、上記のような主張はいままでにもあったし、今更二番煎じのこのネタが、上記のような簡素な内容で話題になる理由としては、やはり MACHIDA.KANAGAWA.JPというドメイン名にあるのでしょう。これは「都道府県型JPドメイン名」というもので、「日本国内に住所を持つ個人・組織であれば、いくつでも登録ができます」(こちらより引用)。 では、どうして紛らわしいドメイン名が登録できるかという理由を説明します。 都道府県型JPドメイン名ができる前に地域型JPドメイン名というものがあり、多くの
INDEX 前置き Better WP Securityプラグインインストール ステータス確認 The admin user still exists -ユーザ名”admin”が存在している- Your table prefix should not be wp_. -データベースのテーブルプレフィックスが”wp_”のまま- Your .htaccess file is NOT secured. -.htaccessファイルがセキュアではない- Your site is vulnerable to brute force attacks. -ブルートフォースアタックに対して脆弱- Your WordPress admin area is available 24/7. Do you really update 24 hours a day? -管理画面へのアクセスは常にできる必要はあるか-
せっかくなので詳細を書いておきましょう。 * テーブルのプレフィックス変更 * インストール済みの保全 SQL インジェクション対策を想定しているのだと思いますが、WordPress では SQL インジェクションはほとんど起こり得ません。 また、悪意あるテーマやプラグインが DB の中身を読みだそうとしたら、wp-config.php で定義されている $table_prefix を読めばいいので、wp_ 以外にしても効果がありません。 * wp-content のリネーム これは他 CMS から URL を維持したままコンテンツを移行しようとするための機能であって、あまりセキュリティーとは関係ありません。 だいたい、画像とか貼り込んでしまえば wp-content のありかはすぐバレます。 * ユーザー名の変更 すでに存在するユーザー名を知ることによって、ログインを試そうとしているのだ
2012年の後半ぐらいからレンタルサーバーでWAF(ウェブアプリケーションファイアウォール)を導入するところが増えてきました。 WAF自体は良い物なのですが、CMSとの相性が悪い(CMSの動作が誤検知されてしまい403エラーを返される)ためか、「オフにすべし」といった情報が散見されます。 わざわざ良い物をオフにしてセキュリティのリスクを上げることもないし、せっかくなのでWAFとWordPressを共存させてみたいと思います。 WAF(ウェブアプリケーションファイアウォール)とは WAF(ウェブアプリケーションファイアウォール)は、従来のファイアウォールやIDS、IPSでは防御できなかった攻撃を検知し、ブロックする機能です。 引用「さくらインターネット – WAF(ウェブアプリケーションファイアウォール)」 導入することでWebサーバーに対する不正なアクセスをWAFがブロックしてくれます。静
朝起きて驚いた・・・!! 受信フォルダにGmailのアカウントを乗っ取られた方々からのスパム多数。「アカウント乗っ取られました。スパムを削除してください」とのメールも複数。Facebookでは自分もやられた、との報告とお詫びが並んでいる。 あわてて自分のアカウントをチェック どこから??ってここからです。Gmailのアカウントの「アカウントアクティビティ」 自分のは乗っ取られておりませんでした。一応安心。 実はGmailのアカウント乗っ取りは今に始まったわけではない。年初あたりにもいろいろなブログなどで警告が書かれていた。しかし実際にまとまって複数の乗っ取られたアカウントからのスパムが来たのははじめてです。一気に広まった?? メールヘッタを見るとGmailの送信サーバを使っているようだ。アドレス帳の全員に同報で同じメールを打ってます。 メールのタイトルは「FW:」「greetings」など
Exec-PHP を利用して編集者が DB パスワード情報を知る方法の解説です。Exec-PHP をインストールして有効にした場合、編集者がJavaScriptを仕込み、注意深くない管理者に実行させることができます。 まず、WordPress の仕様の説明です。WordPress の管理者権限、編集者権限を持つユーザーは、投稿内に JavaScript を書くことが出来ます。また管理者権限、編集者権限を持つユーザーは、他者の投稿を編集したり、他者を投稿者にして投稿を公開することができます。 Exec-PHP の仕様の説明です。Exec-PHP は、投稿本文中に PHP コードが書かれた場合、PHP コードを実行します。Exec-PHP の標準設定では、投稿のオーナーが管理者の場合のみ、PHP コードを実行します。また、「編集者権限を持つユーザーは、他者の投稿を編集したり、他者を投稿者にして
WordPressのプラグインのセキュリティについて、少し真面目な話をします。 2013.07.12 | 考える。 セキュリティ ども、最近でしゃばりすぎじゃないかという噂もあるブルーです。ヴァイオレットさんが書いた記事「なぜexec-PHPがモテるのか」も多少火種になりまして、TwitterやFacebookの観測範囲では、Exec-PHPプラグインについての様々な話題が挙がっていたように思います。このプラグインは、WordPressの投稿画面では、通常PHPのプログラムコードを入力してもセキュリティの観点から削除されますが、それを削除せず、表示の際にコードを実行するというプラグインです。 あえて個別を取り上げることはしませんが、個人的に気になったのは、危険性を啓蒙する記事の一方では、下記のような意見を持つ方も多そうだということです。 「上級者はセキュリティについてもよく分かってるっぽい
【緊急】WordPressでスマホ用WPtouch使ってる初心者は注意です というエントリー書きましたら、「どういうことに気をつけたらもっとセキュリティが上がるのでしょう」というお問い合わせを何人もの方からいただきました。わたくし、エンジニアではないのですが、わかる限りで対策を書かせていただきます。セキュリティ対策はユーザーID変えたから大丈夫、みたいなように考えると逆に危険。WordPressの場合、ユーザーIDはその気になればいろいろなところに出てくるので、機械的にアタックしてくる場合は別として、じっくりソースとか読まれてきたら同じです。 まず、WordPress搭載のサイトに対する執拗な攻撃は、一般的にはブルートフォースアタックと呼ばれております。 ブルートフォースとは、アタッカーがユーザー名とパスワードの組み合わせをランダムに入力し、ログインできるまでこれを繰り返すという攻撃手法。
*2: 管理画面のページを含みます *3: ログインユーザーと非ログインユーザーを両立させるには、キャッシュ・プラグインの使い方に注意しなければならないでしょう *4: CSRF 攻撃だけでログインユーザーの秘密情報が漏洩することはありませんが、他の脆弱性との複合を考えれば、使用すべきかと思います *5: 公開ページであっても、ログインユーザー専用の情報を表示する場合には *4 と同様、使用すべきかと思います。 Ajax には Ajax の セキュリティ上の注意すべき事項 が多数あります。特に XSS 脆弱性 があると秘密情報が漏洩し、せっかくの CSRF 対策が台無しになる可能性もあります。使われる文脈と目的に合わせ、抜け目なく実装しましょう 😛 。 nonceを組み合わせたAjaxの実装方法 やっと本題です 😉 。ここからは myajax プラグインの実装を想定し、5つのステップと
ログイン履歴を保存できるプラグイン「狂骨」をインストールした知人から、こんな話がありました。 「管理者アカウントを admin 以外にしていて、author リンクとかはサイトに一切表示していないのにそのアカウントへのアタックが観測されるんだけど…」 原因が良くわからなかったのですが WordCamp Kobe 2013 の懇親会での LT で謎が解けました。 要約すると… 「WordPress では /?author={user_id} にアクセスすることで、著者アーカイブにリダイレクトされる。 その URL からログインユーザ名を取得することが可能。 通常最初に追加されるユーザのユーザ ID は 1 なので、攻撃者は /?author=1 に対してリクエストしてくる。」 ってことです。 そんなわけで、気持ち悪い人は以下のようなプラグインを使用して著者アーカイブのスラッグ自体を変更してあ
【Paypal(ペイパル)使っている方は注意】何も買ってないのに請求が来たと思ってびっくり。フィッシング詐欺メールでした。削除でOK service@paypal.comから、 「Receipt for your PayPal payment to Jim Hoenscheid」というタイトルで、メールが届いていました。 内容は以下です。メールをキャプチャしました。 要約すると、「この商品を買ったんで支払してよね。149.49USドルね。頼むよ」って感じです。 えっ!買ってないです!怪しいので、どこからメールが送られてきたのか、メールヘッダを確認しました。 怪しいのでメールヘッダを確認確認しましたが、FromとX-senderがおかしかったです。 From: "service@paypal.com" <boondoggled2@thebackyardfunstore.com> X-Send
1. 徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011 2011年9月10日 HASHコンサルティング株式会社 徳丸 浩 twitter id: ockeghem 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • その
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
このエントリでは、Webアプリケーションにおけるログアウト機能に関連して、その目的と実現方法について説明します。 議論の前提 このエントリでは、認証方式として、いわゆるフォーム認証を前提としています。フォーム認証は俗な言い方かもしれませんが、HTMLフォームでIDとパスワードの入力フォームを作成し、その入力値をアプリケーション側で検証する認証方式のことです。IDとパスワードの入力は最初の1回ですませたいため、通常はCookieを用いて認証状態を保持します。ログアウト機能とは、保持された認証状態を破棄して、認証していない状態に戻すことです。 Cookieを用いた認証状態保持 前述のように、認証状態の保持にはCookieを用いることが一般的ですが、Cookieに auth=1 とか、userid=tokumaru などのように、ログイン状態を「そのまま」Cookieに保持すると脆弱性になります
wp_kses( (string) $fragment, (array) $allowed_html, (array) $protocols = null ) KSES は悪意あるスクリプトを除去します。すべての信頼できない HTML (投稿文、コメント文など) は wp_kses() を通すべきです。使い方やデフォルト値などは wp-includes/kses.php を参照してください。 許可する HTML タグの配列を wp_kses() へ渡す代わりに wp_kses_post( (string) $fragment ) を用いれば、投稿や固定ページで許可されるタグのみを残せます。また wp_kses_data( (string) $fragment ) を用いれば、コメントで許可される少数のタグのみを残せます。 KSES システムはリソースをたくさん消費する場合があるので、出力を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く