![https://twitter.com/matsuu/status/1522751803242455043](https://cdn-ak-scissors.b.st-hatena.com/image/square/5bfc69781008a488da7068e68552bad5085447e2/height=288;version=1;width=512/https%3A%2F%2Fpbs.twimg.com%2Fprofile_images%2F1422864637532332033%2FmC1Nx0vj.jpg)
WordPress のセキュリティ診断ツール WPScan 近年、不正アクセスの増加により、セキュリティに対する関心も高まりつつあります。さくらインターネットでも Web改ざん検知サービス やSSLの契約数が伸びてきているようですが、それでもやはり不正アクセスは絶えないのが現状です。 狙われるのはメールパスワード、そして WordPress さくらのレンタルサーバのサポート経験上、しばしば目にする不正アクセスは、メールパスワードの漏洩による大量メール送信です。しかし、これは比較的対策が簡単です。意識してパスワードの管理を行っていれば、それでリスクの9割以上はなくなると思います。 次に多いのがWordPressの不正アクセスです。WordPressは世界の1/3のサイトで使われており、便利で人気がある反面、非常に狙われやすいアプリケーションでもあります。 さくらのレンタルサーバのコラムにも
WordPress is renowned for its usability and ease of access. It is by far the most popular way to build a website. In fact, recent statistics show that 43% of websites use WordPress. This popularity comes at a price, however; insecure WordPress websites can be an easy target for hackers and spammers who are looking to leverage known vulnerabilities to their advantage. If you’re putting a lot of tim
エグゼクティブサマリ PHPMailerのリモートコード実行脆弱性CVE-2016-10033は、従来MTAとしてsendmailを用いる場合のみ影響があるとされていた。また、WordPressはPHPMailerをバンドルしているが、CVE-2016-10033によるWordPressに対するリモートコード実行攻撃はできないとされていた。しかし、MTAとしてExim4を用いる場合には、PHPMailer単体およびWordPress 4.6からのリモートコード実行が可能であることがわかったので報告する。 はじめに 昨年末に話題となったPHPMailerのリモートコード実行脆弱性CVE-2016-10033ですが、当初公表されていたPoCがsendmailコマンドの -X オプションを用いたものであったため、-X オプションのないMTA(postfix, qmail, exim4等)は直ちに
■はじめに 今回は新しいマルウェアにハッキングされたWordpressサイトの報告を致します。 恐らく2017年1月25日から、Wordpressで作られたウェブサイト/ブログのハッキング事件が沢山発見されております。 ハッキングされたサイトにZeus(Pony種類)若しくはVawtrakなどのマルウェアファイルを発見されています。ハッカーが古い版Wordpressソフトウェア、若しくは、プラグインの脆弱性を狙い、「/wp-content/plugins/」ダイレクトリーの下に暗号化されたPonyやVawtrakマルウェアファイルを入れていた、との状況でいくつか確認をさせて頂きました。 ハッキングされたサイト一覧の中に日本国内のwordpressサイトもあります。 ■Hancitorマルウェア感染仕組みについて 簡単にいうと、Hancitor(Chanitor / Hancitor Mal
ちなみに、本来CloudFrontとELBは取捨選択するものではなく、両方を使うことでお互いの機能を補完することができます。今回のCloudFront as Reverse Proxy構成でも、Webサーバーの手前にELBを組み合わせることが可能です。 それでは、それぞれの機能について少し詳しく見ていきます。 CloudFrontのキャッシュ機能 CloudFrontの最低限の用語をここで押さえておきます。CloudFrontでは、元のコンテンツを持つWebサーバーをオリジン、オリジンへの振り分けルールをビヘイビアと呼びます。CloudFrontによるキャッシュ動作の流れを以下に示します。 初回アクセス クライアントがCloudFrontのキャッシュサーバー(エッジロケーション)にアクセス キャッシュサーバーは、ビヘイビアを確認しオリジン(WordPressのWebサーバー)にアクセス オ
概要 CloudFrontとは CloudFrontはAWSのCDN(Contents Delivery Network)サービスで、Webサイトの前段に入れるだけでサイトアクセスが爆速になります。爆速になる理由は主に下記2点。 初回リクエストはCloudFrontがオリジンにコンテンツを取りに行きますが、2回目以降は超高速でCloudFrontのキャッシュから返答します。ただし、TTL(有効期間)を過ぎたキャッシュは削除されます ユーザーがアクセスするCloudFrontのエッジロケーションは全世界に54ヶ所(2016年1月現在)あり、ユーザーはネットワーク的に最も近いエッジロケーションに誘導されます。それぞれのエッジロケーションは、超広帯域なネットワークと超大容量なキャッシュ処理機構に支えられており、ユーザーがサイジングに悩む必要はありません メディア暴露によるスパイク、いわゆるxx砲
WordPressはStaticPressプラグインを使用すると、静的コンテンツに変換することが出来ます。 さらにStaticPress S3プラグインを使用して変換した静的コンテンツをS3から配信するようにすれば、WordPress自体を外部に公開する必要がなくなるので、内部にのみ公開しているサーバやVagrant上にWordPressを立てることができ、セキュリティ上・運用上メリットがあります。(当然、動的なコンテンツ、例えばコメント欄などは使用できませんが・・・) で、このやり方自体は色んな方が書かれているのですが、AWSにEC2を立ててWordPressを構築するところからやってみたところ色々と試行錯誤が必要だったので備忘録も兼ねてまとめます。 コミュニティーAMIを使用して、WordPressサーバを構築する 今回は以下のコミュニティAMIを使用して、WordPressを立ててみ
皆さん、どーもこんにちは、はじめまして、ドワンゴデザイナーのイズムといいます。 普段は主に「ニコニコ動画」のデザインを担当している、デザイナーになって7ヶ月目の元エンジニアです。 元エンジニア、ということなんですが、実は私はこのdwango creators’ blogの開発担当者でもあります。そんなわけで、今日はdwango creators’ blogの開発裏話と使用したツールについてお話をしたいと思います。 静的サイトとしての構築 何かを作るときに、“完成形のイメージ”ができていること、つまり要件がわかっているということはとても大切です。 dwango creators’ blogを開発する際には以下のような要件がありました。 デザイナーが簡単にブログ記事を投稿・管理できるようになっている ポートフォリオ(制作実績)もブログ記事とは別に掲載できる カテゴリ別記事一覧、筆者別記事一覧が
ぼくはそんなにプログラマーではないので(?)あんまり難しいことは分からないけれど、Amazon Web Service(AWS)ってのがすごいらしい。Amazonといえば完全にぼくの中では欲しいものが1日で手に入るお店やさんだったけれど、AWSも2006年7月の運用からかれこれ10年もの歴史があって、なんかすごいらしい。SmartNewstとかCookpadとか、いろんなサービスがAWS上で動いていてすごいらしい(そのへんに詳しいひとがいたら解説してほしい)。 でもなんだかコンソールとかデプロイとか難しそうな用語ばかり出てきてなんだか敷居が高い(まさにクラウドだけに雲の上の存在だった)ので、もっとシンプルにAWSでブログを運用してみたかった。それに、多くのノンプログラマーのブロガーやWebデザイナーにとっては技術的なことは極力避けたいし、設定とかそういうのはパパッと済ませて、面白い記事を書
この記事はWordPress Advent Calendar 2015の7日目の記事です。 今年初めてWordCamp Tokyoにて講演の機会をいただき、WordPressのセキュリティについて話しました(スライド)。そこでもお話ししましたが、WordPressに限らず、Webサイトへの侵入経路は2種類しかありません。それは以下の2つです。 ソフトウェアの脆弱性を悪用される 認証を突破される したがって、侵入対策としては以下が重要になります。 全てのソフトウェア(OS、Apache等、PHP、WordPress本体、プラグイン、テーマ等)を最新の状態に保つ パスワードを強固なものにする 以上! と叫びたい気分ですが、それではシンプル過ぎると思いますので、以下、WordCampでお話した内容とリンクしながら、もう少し細く説明したいと思います。 全てのソフトウェアを最新の状態に保つ Word
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く