https://twitter.com/matsuu/status/1522751803242455043
WPScanによる、WordPressの脆弱性診断の始め方 | さくらのナレッジ
WordPress のセキュリティ診断ツール WPScan 近年、不正アクセスの増加により、セキュリティに対する関心も高まりつつあります。さくらインターネットでも Web改ざん検知サービス やSSLの契約数が伸びてきているようですが、それでもやはり不正アクセスは絶えないのが現状です。 狙われるのはメールパスワード、そして WordPress さくらのレンタルサーバのサポート経験上、しばしば目にする不正アクセスは、メールパスワードの漏洩による大量メール送信です。しかし、これは比較的対策が簡単です。意識してパスワードの管理を行っていれば、それでリスクの9割以上はなくなると思います。 次に多いのがWordPressの不正アクセスです。WordPressは世界の1/3のサイトで使われており、便利で人気がある反面、非常に狙われやすいアプリケーションでもあります。 さくらのレンタルサーバのコラムにも
WordPress Security Guide
WordPress is renowned for its usability and ease of access. It is by far the most popular way to build a website. In fact, recent statistics show that 43% of websites use WordPress. This popularity comes at a price, however; insecure WordPress websites can be an easy target for hackers and spammers who are looking to leverage known vulnerabilities to their advantage. If you’re putting a lot of tim
PHPMailerの脆弱性CVE-2016-10033はExim4やWordPress4.6でも影響があった
エグゼクティブサマリ PHPMailerのリモートコード実行脆弱性CVE-2016-10033は、従来MTAとしてsendmailを用いる場合のみ影響があるとされていた。また、WordPressはPHPMailerをバンドルしているが、CVE-2016-10033によるWordPressに対するリモートコード実行攻撃はできないとされていた。しかし、MTAとしてExim4を用いる場合には、PHPMailer単体およびWordPress 4.6からのリモートコード実行が可能であることがわかったので報告する。 はじめに 昨年末に話題となったPHPMailerのリモートコード実行脆弱性CVE-2016-10033ですが、当初公表されていたPoCがsendmailコマンドの -X オプションを用いたものであったため、-X オプションのないMTA(postfix, qmail, exim4等)は直ちに
#OCJP-133: Hancitorマルウェア感染 と ハッキングされたWordpress
■はじめに 今回は新しいマルウェアにハッキングされたWordpressサイトの報告を致します。 恐らく2017年1月25日から、Wordpressで作られたウェブサイト/ブログのハッキング事件が沢山発見されております。 ハッキングされたサイトにZeus(Pony種類)若しくはVawtrakなどのマルウェアファイルを発見されています。ハッカーが古い版Wordpressソフトウェア、若しくは、プラグインの脆弱性を狙い、「/wp-content/plugins/」ダイレクトリーの下に暗号化されたPonyやVawtrakマルウェアファイルを入れていた、との状況でいくつか確認をさせて頂きました。 ハッキングされたサイト一覧の中に日本国内のwordpressサイトもあります。 ■Hancitorマルウェア感染仕組みについて 簡単にいうと、Hancitor(Chanitor / Hancitor Mal
WP管理者必見!AWSで構築する新スケーラブルなWordPress構成〜CloudFront as Reverse Proxy | DevelopersIO
ちなみに、本来CloudFrontとELBは取捨選択するものではなく、両方を使うことでお互いの機能を補完することができます。今回のCloudFront as Reverse Proxy構成でも、Webサーバーの手前にELBを組み合わせることが可能です。 それでは、それぞれの機能について少し詳しく見ていきます。 CloudFrontのキャッシュ機能 CloudFrontの最低限の用語をここで押さえておきます。CloudFrontでは、元のコンテンツを持つWebサーバーをオリジン、オリジンへの振り分けルールをビヘイビアと呼びます。CloudFrontによるキャッシュ動作の流れを以下に示します。 初回アクセス クライアントがCloudFrontのキャッシュサーバー(エッジロケーション)にアクセス キャッシュサーバーは、ビヘイビアを確認しオリジン(WordPressのWebサーバー)にアクセス オ
WordPressサイトをCloudFrontで配信する - Qiita
概要 CloudFrontとは CloudFrontはAWSのCDN(Contents Delivery Network)サービスで、Webサイトの前段に入れるだけでサイトアクセスが爆速になります。爆速になる理由は主に下記2点。 初回リクエストはCloudFrontがオリジンにコンテンツを取りに行きますが、2回目以降は超高速でCloudFrontのキャッシュから返答します。ただし、TTL(有効期間)を過ぎたキャッシュは削除されます ユーザーがアクセスするCloudFrontのエッジロケーションは全世界に54ヶ所(2016年1月現在)あり、ユーザーはネットワーク的に最も近いエッジロケーションに誘導されます。それぞれのエッジロケーションは、超広帯域なネットワークと超大容量なキャッシュ処理機構に支えられており、ユーザーがサイジングに悩む必要はありません メディア暴露によるスパイク、いわゆるxx砲
AWSにWordPressを立て静的ページに変換してS3に置くまで - Qiita
WordPressはStaticPressプラグインを使用すると、静的コンテンツに変換することが出来ます。 さらにStaticPress S3プラグインを使用して変換した静的コンテンツをS3から配信するようにすれば、WordPress自体を外部に公開する必要がなくなるので、内部にのみ公開しているサーバやVagrant上にWordPressを立てることができ、セキュリティ上・運用上メリットがあります。(当然、動的なコンテンツ、例えばコメント欄などは使用できませんが・・・) で、このやり方自体は色んな方が書かれているのですが、AWSにEC2を立ててWordPressを構築するところからやってみたところ色々と試行錯誤が必要だったので備忘録も兼ねてまとめます。 コミュニティーAMIを使用して、WordPressサーバを構築する 今回は以下のコミュニティAMIを使用して、WordPressを立ててみ
【dwango creators’ blog開発秘話】WordPress + StaticPressのメリットと注意点 |dwango creators' blog(ドワンゴクリエイターズブログ)
皆さん、どーもこんにちは、はじめまして、ドワンゴデザイナーのイズムといいます。 普段は主に「ニコニコ動画」のデザインを担当している、デザイナーになって7ヶ月目の元エンジニアです。 元エンジニア、ということなんですが、実は私はこのdwango creators’ blogの開発担当者でもあります。そんなわけで、今日はdwango creators’ blogの開発裏話と使用したツールについてお話をしたいと思います。 静的サイトとしての構築 何かを作るときに、“完成形のイメージ”ができていること、つまり要件がわかっているということはとても大切です。 dwango creators’ blogを開発する際には以下のような要件がありました。 デザイナーが簡単にブログ記事を投稿・管理できるようになっている ポートフォリオ(制作実績)もブログ記事とは別に掲載できる カテゴリ別記事一覧、筆者別記事一覧が
一般ブロガーやWebデザイナーがAmazon Web Service(AWS)で独自ドメインのWordpressサイトを10分で作る方法 - Brian'z Imagination
ぼくはそんなにプログラマーではないので(?)あんまり難しいことは分からないけれど、Amazon Web Service(AWS)ってのがすごいらしい。Amazonといえば完全にぼくの中では欲しいものが1日で手に入るお店やさんだったけれど、AWSも2006年7月の運用からかれこれ10年もの歴史があって、なんかすごいらしい。SmartNewstとかCookpadとか、いろんなサービスがAWS上で動いていてすごいらしい(そのへんに詳しいひとがいたら解説してほしい)。 でもなんだかコンソールとかデプロイとか難しそうな用語ばかり出てきてなんだか敷居が高い(まさにクラウドだけに雲の上の存在だった)ので、もっとシンプルにAWSでブログを運用してみたかった。それに、多くのノンプログラマーのブロガーやWebデザイナーにとっては技術的なことは極力避けたいし、設定とかそういうのはパパッと済ませて、面白い記事を書
WordPressの侵入対策は脆弱性管理とパスワード管理を中心に考えよう
この記事はWordPress Advent Calendar 2015の7日目の記事です。 今年初めてWordCamp Tokyoにて講演の機会をいただき、WordPressのセキュリティについて話しました(スライド)。そこでもお話ししましたが、WordPressに限らず、Webサイトへの侵入経路は2種類しかありません。それは以下の2つです。 ソフトウェアの脆弱性を悪用される 認証を突破される したがって、侵入対策としては以下が重要になります。 全てのソフトウェア(OS、Apache等、PHP、WordPress本体、プラグイン、テーマ等)を最新の状態に保つ パスワードを強固なものにする 以上! と叫びたい気分ですが、それではシンプル過ぎると思いますので、以下、WordCampでお話した内容とリンクしながら、もう少し細く説明したいと思います。 全てのソフトウェアを最新の状態に保つ Word
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
WordPress 5.7 XXE Vulnerability
WPSCanによるWordPressの脆弱性スキャン
GitHub - OWASP/wpBullet
WordPress の前段に CloudFront を配置する ( AMIMOTO Advent Calendar 2015 12日目 ) - dogmap.jp
セキュリティ対策してる? WAFを導入しセキュアにWordPress構築 on Azure
Document | StaticPress
https://tech.recruit-sumai.co.jp/%E3%83%86%E3%83%83%E3%82%AF%E3%83%96%E3%83%AD%E3%82%B0%E3%82%92http2php7wordpress%E3%81%A7%E6%A7%8B%E7%AF%89%E3%81%97%E3%81%A6%E3%81%BF%E3%81%9F/
“WordPress.com”のWindows版アプリが公開、自前管理の「WordPress」でも利用可能
