1時間で出来るWordPress環境構築(※永久無料・・・だった)【※2020/7/1より約300円/月が有料になります】 - Qiita
個人用メモです。 !! ======================== !! ※この記事は2019年の記事です。著者はもうWordPressを使用しておりません。この記事で紹介している内容は2019年当時の内容である事を理解した上で、実際に設定する際は最新の情報を確認しながら行ってください。 2019/9/26追記 2020年1月1日より静的IPが有料になる旨Googleから発表がありました。 $0.004/時間=最大約300円/月が有料となります。 それ以外の部分についても無料でなくなり次第記事を更新してまいります。 情報: @mattn 様 2020/3/20追記 まだ請求額が0円だったので「あれ?」って思って調べたら、上記の静的IP有料の変更は1/1から反映されてるものの、キャンペーンで2020/4/1までは割引されている事に気がついたので注釈追記しました。ちなみに割引されなかった
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
この記事はWordPress Advent Calendar 2015の7日目の記事です。 今年初めてWordCamp Tokyoにて講演の機会をいただき、WordPressのセキュリティについて話しました(スライド)。そこでもお話ししましたが、WordPressに限らず、Webサイトへの侵入経路は2種類しかありません。それは以下の2つです。 ソフトウェアの脆弱性を悪用される 認証を突破される したがって、侵入対策としては以下が重要になります。 全てのソフトウェア(OS、Apache等、PHP、WordPress本体、プラグイン、テーマ等)を最新の状態に保つ パスワードを強固なものにする 以上! と叫びたい気分ですが、それではシンプル過ぎると思いますので、以下、WordCampでお話した内容とリンクしながら、もう少し細く説明したいと思います。 全てのソフトウェアを最新の状態に保つ Word
Zenlogicホスティングが断続的にご利用しづらい状況について|プレスリリース|ニュース|Zenlogicのファーストサーバ株式会社
【接続先追加】「バーチャルブリッジ(インターコネクト:メガクラウド)」Oracle Cloud... データセンター 2024年07月02日 【事例公開】月間2億PVを超える電子書籍読み放題サービス「ブック放題」のインフラとして「IDC... 導入事例 2024年07月02日 7月3日~5日に奈良で開催される「JANOG54 Meeting in NARA」にブース出展... その他 2024年06月19日 6月12日~14日に開催される「Interop Tokyo カンファレンス 2024」にてデー... データセンター 2024年06月05日 【機能強化】IDCFクラウドで「オートスケール」の提供を開始しました クラウド 2024年06月05日 三井物産・三井情報・ゼウレカが企画・提供・運用する「Tokyo-1」のAIスパコン稼働環境にI... データセンター 2024年05月22日
WordPress は4つ運営中、キャリコ( @calicocatxyz )です。 やりたいことを叶えるために WordPress を覚えるところから始まり、初めて開設したキャリコ、MT から引っ越しさせた旅ブログ、仕事で扱うブログ、スコにゃん劇場と、気付けば4つのサイトを抱えるまでになっていました。 そうなると WordPress の扱いには慣れたもので、使うプラグインも大体決まってくるのです。基本的なプラグインを決めておいて、あとはそのサイトの特色に合わせて選ぶといった感じですね。それではいってみましょう。 WordPress プラグイン Autoptimize ダウンロードAutoptimize Web サイトのページ表示速度がエライ上がると評判の Autoptimize はインストールするだけで段違いに速くなります。特に JavaScript の縮小によりスマホ・パソコン表示のスコ
Zenlogicサポートサイト[IDCフロンティア]
TOP サービス IDCFクラウド コンピュート コンテナ RDB CacheDB クラウドストレージ DNS GSLB(広域負荷分散) インフィニットLB CDN イメージオプティマイザー 連携サービス プライベートクラウド NSXオプション ベアメタルサーバー パートナーサービス Fastly CDN Fastly 次世代 WAF SiteGuard Server Edition Google Cloud 構成例 事例 料金シミュレーション ウェビナー開催情報 今後の機能強化予定 English
![Zenlogicサポートサイト[IDCフロンティア]](https://cdn-ak-scissors.b.st-hatena.com/image/square/ef11d425326ca3e1a1b2d0f40bb48d9bc5ba052a/height=288;version=1;width=512/https%3A%2F%2Fwww.idcf.jp%2Frentalserver%2Fshared%2Fimages%2Fsns.jpg)
ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ
(2013/08/29)追記 ロリポップ上のWordPressが不正アクセスされる事例が増えているようです(参考)。現時点で侵入経路等は明らかでありませんが、以下に説明する方法で、公開ページに対するSQLインジェクション攻撃や、管理コンソールに対する不正ログインに対しては、かなり効果があると考えられます。ユーザーの参考になれば幸いです。また、タイトルを変更しました。 追記終わり 今年の9月27日から、ロリポップのレンタルサーバーの全プランで、WAF(SiteGuard Lite)が標準装備されるようになりました。 WAF(ウェブアプリケーションファイアウォール)を導入いたしました ロリポップ!レンタルサーバーはWAF標準装備です。 http://lolipop.jp/waf/より引用 これは大変良いことですね。インターネット上のすべてのサイトが攻撃の対象ですし、被害も増えている印象がありま
TOP サービス IDCFクラウド コンピュート コンテナ RDB CacheDB クラウドストレージ DNS GSLB(広域負荷分散) インフィニットLB CDN イメージオプティマイザー 連携サービス プライベートクラウド NSXオプション ベアメタルサーバー パートナーサービス Fastly CDN Fastly 次世代 WAF SiteGuard Server Edition Google Cloud 構成例 事例 料金シミュレーション ウェビナー開催情報 今後の機能強化予定 English
書式文字列によるSQLインジェクション攻撃例
以下のようなコードがあり、nameは画面入力なのでSQLインジェクションが起こるのでは? と作成者に確認したところ、"%s"してあるから大丈夫との返事をもらいました。 ネット調べるとmysql_real_escape_stringでエスケープしてから"%s"で変換すれば大丈夫といった内容は見つけたのですが、mysql_real_escape_stringなど不要との返事をもらいました。 なぜ?と聞くとそういうものだとしか回答がありません。 ひどいですね。これは質問者が正しく、sprintfの%sで受けただけでは、SQLインジェクション脆弱性となります。 しかし、どうしてこのような間違った知識が出てきたのかと考えるに、数値を%dで受ける場合と混乱したのではないかと憶測しました。数値の場合、書式%dで受けていれば、仮に攻撃コードが入力されたとしても、%dで整数に強制変換されるので、SQLインジ
ガチ30時間かけた日本一分かりやすいヘテムル・サーバーの初心者マニュアル19選【まとめ】 - 鯖メシ
利用者数が150万人(2015年8月時点)と他社と比較してダントツの人気レンタルサーバー『ロリポップ!』の上位クラスが『ヘテムル』です。 他ではあまり見かけないサイト事例を大々的に紹介し、デザイン要素の高いサイトが多い事から、主にWeb制作会社やフリーランスの方が利用しているのでしょうか。 ここではヘテムルについて次のポイントを軸に解説していきます。 ヘテムルの評価・感想 ヘテムルの料金 ヘテムルの使い方 ヘテムルの仕様・機能一覧 特に初心者の方のために分かりやすく解説しています。少しでもサポートになれば幸いです。 とりあえず公式サイトを確認したい方はこちらからどうぞ。 ヘテムル・サーバー公式サイトを見る ヘテムルの評価・感想 結論として、レンタルサーバー・ヘテムルの総合評価は3.5点(5.0満点中)です。 年間の料金:× レンタルサーバーの性能:☆ 管理画面・ブログ導入の使いやすさ:★
WordPressのセキュリティ系プラグイン『SiteGuard WP Plugin』が非常に便利すぎる | 佐賀でふらふり
今日はお散歩に出かけて、桜の花と梅の花を満喫してきました。 気温も結構暖かく、もう春着てますね~。 さて、最近知ったプラグインなんですが『SiteGuard WP Plugin』というもの。 WordPress › SiteGuard WP Plugin « WordPress Plugins きっかけは、ヘテムルでWordPressを自動インストールした時に、最初から入っていました。 Akismetは商用利用は有料なので使えず、かといって他にいい感じのセキュリティプラグインを見つけきれてなく、このプラグインが国産ということもあって、とりあえずお試しで使ってみました。 使ってみるともうAkismetなんか使わなくても、十分有り余るくらいのプラグイン。 いやぁ、これは使ってみるべきですよ。 目次 SiteGuard WP Pluginの機能 各種設定方法 管理ページアクセス制限 ログインペー
Joomla!にコード実行脆弱性(CVE-2015-8562)があり、パッチ公開前から攻撃が観測されていたと話題になっています。 Joomlaに深刻な脆弱性、パッチ公開2日前から攻撃横行 「Joomla!」に再び深刻な脆弱性、3.4.6への速やかなアップデートを推奨 パッチ公開の前に攻撃が始まる状態を「ゼロデイ脆弱性」と言いますが、それでは、この脆弱性のメカニズムはどんなものだろうかと思い、調べてみました。 結論から言えば、この問題はJoomla!側に重大な脆弱性はなく、PHPの既知の脆弱性(CVE-2015-6835)が原因でしたので報告します。 exploitを調べてみる 既にこの問題のexploitは公開されていますが、悪い子が真似するといけないのでURL等は割愛します。以下のページでは攻撃の原理が説明されています。 Vulnerability Details: Joomla! Re
WordPressの不正ログイン対策の数々!諸先輩方に学ぶ(^^)/ - マネー報道 MoneyReport
WordPressのログイン防御 WordPressで作ったWebサイトの本格運用に向けて、WordPressを外部攻撃から守るためのセキュリティー向上策を調べつつ施している真っ最中です。 昨日はログイン画面をガードして不正アクセス防止対策を施しました。 いかんせんワードプレス初心者なもので、的外れの部分もあったかもしれませんが、色々なサイトで紹介されている不正ログイン対策で良さそうな対策で、かつ必要最低限で運用は楽なものを選んで導入してみました(^-^)w セキュリティ対策でガードが硬くなったのはよくても、「運用が面倒臭いのはいやだな~」というのがあったので、その辺のバランスを考えてチョイスしてみました(^-^)w ただ所詮、ワードプレス初心者なのでツッコミどころが多かった様で、多数のブコメを頂きました(^o^; 「他にもこんな対策もあるよ!」 という点で非常に有用なアドバイスが多かった
今年も猛威をふるうWordPress攻撃。初心者ならまずプラグインでセキュリティ対策『SiteGuard WP Plugin』
今年もWordPressのユーザーが激増しそうです。初心者さんに優しい環境が整ってきたおかげでしょう。 WordPressをワンクリックで、簡単にインストールできるレンタルサーバーが増えてます。データベースをセットアップする必要や、FTP経由でファイルを送受信する必要もなく、専門スキルがなくても気軽にWordPressでのブログ更新を楽しめます。 その一方で、WordPressを狙う悪質な攻撃も増えてます。 セキュリティ関連は、Webを本職にしてても苦手な人が多く、趣味でブログを運営している初心者さんにとってはなおさら。「なにも対策してないや」という人の方が多いのではないでしょうか。 そこで今回、ひとつプラグインをピックアップしてみました。WordPressを「ブルートフォースアタック」から守る『SiteGuard WP Plugin』というプラグインです。 ブルートフォースアタックは、W
オープンソースCMSのWordPressを利用するときに一番気になるのが、セキュリティ対策についてではないでしょうか。 近年WordPressを狙ったハッキングが増えてきていますので、しっかりとセキュリティ対策を実施し、皆様のウェブサイトを守ってください。 2016年Q3のハッキング状況 「Hacked Website Report – 2016/Q3」の調査によると、2016年Q3にハッキングされたCMS8,000サイトのうち、WordPressが74%、Joomla!が17%、Magentoが6%でした。 (調査結果及び、画像引用:Hacked Website Report – 2016/Q3) 2017年のハッキング状況 「Hacked Website Report 2017」の調査によると、2017年に34,371件の感染したウェブサイトを調査した結果、WordPressが83%、
Struts2においてクラスローダーの操作を許してしまう脆弱性(CVE-2014-0094)について先日調べたのですが、その後のセキュリティベンダの調査により当初に比べて影響範囲が変わってきていることから、再度整理をかねてまとめます。尚、これら情報はpiyokangoが全て検証したわけではないためご注意ください。また当然ながら悪用することは厳禁です。 Apache Software Foundationより、当該脆弱性情報に関するアナウンスが出ました。 24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation S2-021 クラスローダーが操作される脆弱性の影響範囲 NTT-CERTやMBSD、LACの調査により次のStrutsのバージョンが影響を受けることが判明しています。またBeanUtilsを使ってリクエスト
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
国内外で高い人気を誇るWordPressは、利用者が多い分悪質なユーザーに狙われるケースも多々あります。 セキュリティ対策をしないまま利用するのは非常に危険です。 主な手口としては、大量のスパムコメントが投稿や脆弱性を利用したページの改ざん、不正ログインなどが多く、不正利用から守るためにセキュリティの強化をおこなうことは運営者としての責任でもあります。 今回はWordPressで導入できるセキュリティ強化のプラグインをまとめてご紹介します。これからWordPressを始める方も既に運営しているという方もぜひ確認しましょう。 WordPressのセキュリティ対策に有効なプラグイン14選 1.All In One WP Security & Firewall https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ 高
最終更新:5月6日 18:50 平素はさくらのクラウドをご利用いただき、誠にありがとうございます。 さくらのクラウドにて提供しているパブリック・アーカイブの一部のOSにおいて、本来サーバごとに固有であるはずのSSHホスト鍵が同一になっているものがあることが判明いたしました。 影響について 第三者からサーバへの不正アクセスが可能となることはありません。 しかし、SSH経由での接続の際にホスト成りすましによるパスワードの盗難を防ぐ仕組みが無効になるケースがございますので、以下の手順によりSSHホスト鍵の再生成を行っていただくよう、お願い申し上げます。 ※追記(2016年4月28日 19:10) CentOS 5,6,7やScientific Linux、SiteGuardをパブリックアーカイブより作成された際には影響はございません。 また、ISOイメージからインストールをされている場合にも影響
WordPressのセキュリティ強化ができるプラグイン6選
WordPressのセキュリティを強化できるプラグインを紹介します。 WordPressのブログに対してのセキュリティ対策を何もしていないと、 無防備の状態であり、外部からの様々な攻撃に晒されている危険な状態です。 例えば、「ブログの管理者権限を乗っ取られる」「ブログの記事が改ざんされる」「迷惑なコメントスパムが毎日大量に投稿される」など、様々な被害に遭う可能性が高くなります。 セキュリティを強化するプラグインを活用することで、外部からの様々な攻撃から自分のブログを防衛しましょう。 この記事を読むと得られること はじめに セキュリテイ対策の重要性 WordPressは、世界中で非常に人気のあるコンテンツ管理システム(CMS)です。 利用者が非常に多いので、それを悪用しようとする悪者も非常に多いのが現実です。 それらの殆どが海外からの不正なアクセスです。 脆弱性をスキャンし、セキュリティの弱
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2) 備忘のため転載いたしますが、この記事は2008年7月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 なお、この記事を書いた後、WAFはこの記事の予言(願い?)通りに進展したように思います。そのあたりの歴史については、こちらのインタビュー記事を参照下さい。 補足終わり PCIデータセキュリティ基準(PCIDSS)がWAF(Web Application Firewall)について言及していることなどから、最近再びWAFへの関心が高まっている。一方、WAFは、一部のユーザや専門家に非常に評判が悪い。なぜ、そのようなことになるのか。本稿では、WAFの基本機能を説明した上で、その限界と運用上の問題を指摘し、今後のWAFの使い方
SiteGuard WP Plugin
管理ページアクセス制限 管理ページ(/wp-admin/以降)に対する攻撃から防御するための機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを、404(Not Found)で返します。ログインすると、接続元IPアドレスが記録され、当該ページのアクセスを許可します。24時間以上ログインが行われない接続元IPアドレスは、順次削除されます。この機能を除外するURL(/wp-admin/以降)を指定することができます。 ログインページ変更 ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を受けにくくするための機能です。ログインページ(wp-login.php)の名前を変更します。初期値は、「login_<5桁の乱数>」ですが、お好みの名前に変更することができます。 画像認証 ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメン
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「今一度、おさらいしておきたいWordPressのセキュリティ」を再編集したものです。 2020年11月に発表されたウェブサイト向けCMSの世界シェアでは、WordPressが圧倒的な1位となっている。2003年にリリースされたこのオープンソースのソフトウェアは、ウェブ制作におけるデファクトスタンダードになったといえるだろう。しかしその分、悪意のある第三者に狙われやすくなっている。この記事では、WordPress利用時のリスクとその対策について詳しく解説する。 WordPressとは WordPressは無料で利用できるウェブサイト向けのCMS(コンテンツ・マネジメント・システム)で、その導入によりHTMLやCSSを直接編集することなく、ウェブサイトを更新することができる。プログラムが公開されているオープンソー
<br /> <b>Warning</b>: Use of undefined constant title - assumed 'title' (this will throw an Error in a future version of PHP) in <b>/home/akhr/www/republic/wp/wp-content/themes/republic/_head.php</b> on line <b>18</b><br /> REPUBLIC
Warning: Use of undefined constant HOME_URL - assumed 'HOME_URL' (this will throw an Error in a future version of PHP) in /home/akhr/www/republic/wp/wp-content/themes/republic/functions.php on line 7 Warning: session_start(): Cannot start session when headers already sent in /home/akhr/www/republic/wp/wp-content/plugins/siteguard/siteguard.php on line 153 Warning: Use of undefined constant PAGE_ID
www.telemundo.com ワードプレスはブログやアフィリエイト、企業のホームページまでウェブサイト運営で使われる優れたシステムである。WordPressが人気なのはプラグインという形で簡単に便利な機能の実装が出来るからだろう。 ただ、プラグインは脆弱性が見つかったものほど侵入されやすくなる。長い期間更新がなされていないプラグインは脆弱性が放置されたままだったり、最新のバージョンに対応していない場合もある。出来るならプラグインに頼らない機能の実装が理想的である。プラグインの整理は定期的に行い、使っていないものは削除するようにした方が良いだろう。 この記事では ▶ WordPressのおすすめプラグイン から ▶ WordPressのプラグインでセキュリティを高めるために必要なこと まで詳しく紹介していきたいと思う。 WordPressのおすすめプラグイン WordPressのプラグ
近年、セキュリティに関する被害が急速に広がっています。 とりわけ、ランサムウェア(身代金を要求するマルウェア)と呼ばれる、悪質なマルウェアにひっかかったという被害も多く聞かれます。 最近では、「Wanna Cry」(ワナクライ:「泣きたくなる」の意)というマルウェアが流行しており、感染するとネットワーク内で自己増殖するワーム機能が搭載されており、爆発的な被害拡大の要因となっています。 そのような状況の中、「自分には関係ない」と思って対策をしておかないと、いつの間にか自分が被害者になるかもしれません。 特に、Wordpressでホームページを運用している場合は、注意が必要です。 2017年1月、WordPressの深刻な脆弱性を突く攻撃が横行し、150万件以上が改ざんされたと米セキュリティ企業Feedjitが発表しています。 何も対策を行っていないと、自らが被害者になる可能性も十分にありえま
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
WordPressの侵入対策は脆弱性管理とパスワード管理を中心に考えよう
WordPress で新サイトを開設する時に必ず入れるプラグイン14選 | キャリコ
IDCFクラウド -使いやすく、よりパワフルに|IDCフロンティア
Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因
WordPressセキュリティ対策強化の基本 | レンタルサーバーのCPIスタッフブログ
Strutsの脆弱性CVE-2014-0094について改めてまとめてみた - piyolog
“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
WordPressはセキュリティ強化が必須!安心して運営するために入れたいプラグイン14選
【重要】SSHホスト鍵の再作成のお願い(追記あり)
そろそろWAFに関して一言いっとくか~三重苦を乗り越えてWAFが普及するための条件とは~
「WordPress」利用時のリスクとその対策
WordPressのおすすめプラグインからセキュリティを高めるための知識までを述べていく
あなたのホームページは大丈夫?WordPressのセキュリティを高めるためにやっておきたい7つのこと