『Piwikをセキュアにセットアップ(3)Apacheの.htaccess』
サーバーエンジニアのスキルアップ日記サーバエンジニアがレンタルサーバーを使って試行錯誤しながら各種サービスを動作させ、スキルアップする日々を語ります。 Piwikをインストールして使えるようになりましたが、機能がたくさんあり使い方がよくわかりません。まずは、Piwikのユーザーマニュアルを見て、使用方法を確認します。 公式サイトの下記情報を確認しています。 User Guide → Piwik Installation & Optimization → Optimize & Secure Piwik→Setup a Secure Piwik server Use .htaccess to restrict access to a few files only, and restrict by IP address .htaccessでアクセスできるファイルや接続元IPを制限 ・Webサーバ
セキュリティのための Matomo(Piwik) 設定方法 - Matomoユーザー会
目次 1. Matomo(Piwik) を安全に維持するヒント 2. Matomo(Piwik) プロフェッショナル管理者のためのベストプラクティス一覧 Matomo(Piwik) チームは、Matomo(Piwik) ソースコードを確実に安全なものにするため、最前を尽くしています。そのため、私たちは以下のことを行っています: ・バグの発見した研究者への積極的な報酬プログラム ・外部のプロフェッショナルセキュリティレビューの実施およびサポート ・コミットでのコードレビューの実施 しかしながら、これらのセキュリティステップは、Matomo(Piwik) ソフトウェアに限定されています。Matomo(Piwik) をダウンロードしてインストールしたら、より多くの安全上のリスク要因が訪れる可能性があります。そこで以下を必ずご確認ください。 Matomo(Piwik) の安全を維持するヒント デー
sshdへの不正アタック対策「DenyHosts」
不正アタックを防ぐために 色々と調べてみた結果、一定回数以上ログインに失敗したIPやrootで直接ログインしようとしたIPを「/etc/hosts.deny」に登録(ブラックリストみたいなもんですな)して、以降の接続を拒否する方法を発見しましたので実行すると共に備忘録として。 DenyHostsとは このソフト、上で書いたとおり不正アタックを仕掛けたと思しきIPアドレスをブラックリストに登録して次回以降シャットアウト!してくれる心強いものです。 何回のアタック失敗でブラリ登録するか、や何分後にリストから削除、など柔軟な設定も可能なようですので早速インストールしてみます。 まずはインストール # apt-get update # apt-get install denyhosts これでサクっとインストール完了。続いて設定を行います。 設定ファイルの編集 設定ファイルのパスは「/etc/de
SSHの設定 - DenyHostsでSSHへの攻撃を防ぐ:tech.ckme.co.jp
例えばopenSUSE 10.0で/var/log/messagesを見ると時々 Mar 26 22:01:32 linux sshd[18645]: Invalid user test12 from 65.205.238.12 Mar 26 22:01:34 linux sshd[18647]: Invalid user test12 from 65.205.238.12 Mar 26 22:01:35 linux sshd[18649]: Invalid user test12 from 65.205.238.12 Mar 26 22:01:37 linux sshd[18651]: Invalid user test12 from 65.205.238.12 Mar 26 22:01:38 linux sshd[18653]: Invalid user test12 from 65.
ミケネコの htaccess リファレンス
index.html 以外をデフォルトファイルにするには 通常、スラッシュ(/) で終わるアクセスがあったときは、index.html ファイルが代替して呼ばれますが、DirectoryIndex を設定することで index.html 以外のファイルを呼び出すことができます。 DirectoryIndex index.cgi index.html index.shtml top.htm スラッシュ(/) で終わるアクセスがあったとき、サーバは DirectoryIndex で記述されているファイルを順に探していき、見つかればそのファイルを表示します。 ディレクトリのファイル一覧表示を中止するには 通常、スラッシュ(/) で終わるアクセスがあったときに、index.html ファイルが代替して呼ばれますが、index.html ファイルが見つからない場合に、次のようなディレクトリのファイル
はじめてでも爆速でCentOS6.6(さくらのVPS)をセキュアにセットアップする方法まとめ - 憂鬱な世界にネコパンチ!
爆速でセットアップを完了するため、極力コピペで設定できるようにしてみたよ(・∀・) 動作検証は、さくらのVPSで標準OSをインストールして行った。記事執筆時点ではCentOS6.6がインストールされたぞ。 # cat /etc/issue CentOS release 6.6 (Final) # uname -rs Linux 2.6.32-504.3.3.el6.x86_64 お知らせ 本記事の内容をFabric化したスクリプトを公開!ぜひ試してみてね。 → 超速でCentOS6.6(さくらのVPS)をセットアップする俺史上最強のFabricスクリプトをさらす rootのパスワード変更と作業用ユーザの作成 まずは、コンソールからSSHで接続しよう。 [localhost ~]$ ssh root@XX.XX.XX.XX なお、サーバを起動してない場合は、事前に管理画面からサーバを起動しよ
VPS 借りたら、せめてこれくらいはやっとけというセキュリティ設定 - dogmap.jp
さくらのVPSやら、ServersMan@VPS やらの出現で、やたらと敷居のさがった感のある VPS 。 かく言うこのサーバもめ組VPSで運用されてるわけですが、VPSを既存のレンサバ感覚で使ってる人にせめてこれくらいのセキュリティ設定はやっておいたほうが良いよっていうお話です。 今回、対象にする OS は CentOS です。 さくらVPS 借りて Ubuntu とか、別の OS で運用するような中上級者は自分でできるよね。 リモートからの root ログインを無効にする ssh 経由で root でログインして作業したりしてませんか? これ root パスワードが破られたら、サーバが乗っ取られちゃうので、大変に危険です。 root ログインを無効にして、権限のあるユーザでログインしてから sudo or su して作業するようにしましょう。 root ログインを無効にする方法は、こん
WordPressのXML-RPCの設定見直し
これで防げると思ってたんだけど 実際 pingback.ping は呼び出せた。WordPressのソースを確認したら xmlrpc_enabled フィルタでチェックしているのは認証が必要なパターンのときだった。pingback.pingは防げない・・・ というわけでPinbackを無効にするにはやっぱりxmlrpc_methodsフィルタを使うのが良い。 if ( function_exists( 'add_filter' ) ) { add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' ); } function remove_xmlrpc_pingback_ping($methods) { unset($methods['pingback.ping']); return $methods; } しかしながら xmlr
踏み台にされたくないのでXML-RPCを無効にした
こちらのサイトのおかげでWordPressのPingback機能が危ないことを知った。 DoSの踏み台にされているJPドメインのWordPressをまとめてみた http://d.hatena.ne.jp/Kango/20140313/1394673178 とりあえずSucuriのチェックサイトでは検出されていないようだが念の為に無効にすべきだろうか、そして無効にしてその弊害になるのは何だろうか。 今度はWordPressが踏み台に、Pingback機能を悪用しDDoS攻撃 http://www.atmarkit.co.jp/ait/articles/1403/13/news133.html この問題は、自分の投稿に対してリンクが張られたことを知らせるPingback機能を悪用したものだ。WordPressのPingback機能はXML-RPC APIを用いて実装されている。このAPI(x
DoSの踏み台にされているJPドメインのWordPressをまとめてみた - piyolog
Krebsが自分のサイト(KrebsOnSecurity)に対して41,000超のWebサイトからDoSを受けていると報告しています。 このDoSはWoredpressのpingbackを悪用したものらしく、先日、Sucuriもpingback機能を悪用したDoSについて報告していました。 More Than 162,000 WordPress Sites Used for Distributed Denial of Service Attack WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用 - ITmedia エンタープライズ pingbackを悪用したDoS方法 pingbackはハイパーリンクを設置したことを通知する仕組みですが、リモート投稿(XMLRPC)の機能(WordPressのxmlrpc.php)に対して次のPOSTを送信するとそのW
セキュリティに関する重要なお知らせ「WEBサイト改ざんの予防策」 - レンタルサーバー「heteml(ヘテムル)」
CMS (CMSとは…)などのプログラムに脆弱性がある場合、悪意を持った攻撃者は、そのプログラムに攻撃を仕掛けます。 攻撃者はそのCMSを利用し、クラッキングツールを設置します。 クラッキングツールとは、同じサーバー内にあるファイルの「パーミッションの変更」や「改ざんコードの埋め込み」「ファイルの設置」等の改ざんに用いられているものです。そのクラッキングツールによってファイルが改ざんされ、スパムメールを大量に送信させられてしまう問題が発生します。 また、悪意のあるページへ自動的に遷移させられてしまう問題が発生するケースもあります。 原因の対応方法 下記の方法を確認して適切な対応を行なってください。 WAFを有効にする CMSは常に最新のバージョンをご利用し、管理できないサイトは閉鎖する CMS管理画面のパスワードを推測されにくいものにする パーミッションの設定を正しく行なってください FT
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Home - Microsoft Answers
Guides - Analytics Platform - Matomo
VPSをWebサーバとして公開するまでに行ったセキュリティ設定 - Qiita
【1】セキュリティプラグイン「SiteGuard WP Plugin」:ログインページ変更 | ヘテムルブログ