WordPress.comに不正アクセス、ソースコードなどの情報が流出
WordPress.comを運営するAutomatticのサーバが不正アクセスされ、ソースコードが「社外秘」の部分も含めて流出した恐れがあるという。 大手ブログサービスWordPress.comを運営するAutomatticは4月13日、同社のサーバ数台にrootレベルの不正アクセスがあり、ソースコードなどの情報が流出した恐れがあると発表した。 同社によると、サーバに置かれていたあらゆる情報が流出した可能性があるが、ソースコードについてはコピーされた形跡があるという。ソースコードの大部分はオープンソースだが、同社およびパートナーの社外秘情報もあったとしている。 現在、ログや記録をチェックしてどの程度の情報が流出したのかを調べるとともに、再発防止のためのセキュリティ対策を講じているが、ソースコード以外の情報の流出は「限定的」だと同社は強調している。 WordPress.comのサービスは、各
XREA/CoreServer に SSH を使って WordPress をインストール
ホスト情報登録画面で自分の IP アドレスを確認したら「SSH登録」をクリック。プロキシサーバ経由では接続できません。設定が反映されるまでに 5~10分かかります。 SSHクライアントの設定 次に SSH クライアントソフトで設定をします。ここでは Tera Termを使います。 ログインできたら ls, pwd などコマンドを打ち込んでみてください。 WordPress のインストール Coreserver には「CGIインストール」という機能があり、かつては WordPress をワンクリックでインストールできるようになっていました。しかし WordPress ME 2.2.3 とバージョンが古く、現在はこの機能も正常に動作しないようです。 SSH を使うと WordPress のファイルの設置が FTP を使うよりも簡単にできます(個人の感想です)。まず wget コマンドで zip
安全なファイルパーミッションの重要性
以下は、2010年4月13日に Matt が書いた WordPress.org 公式ブログの記事、「Secure File Permissions Matter」を訳したものです。 概要: 適切でないサーバー設定を行っていたホスティングサービスの一部のサーバー上で、他のユーザーの設定ファイルを読み取れるようになっていました。一部の「セキュリティ」記者が、これを「WordPress 脆弱性」のストーリーに仕立て上げようと試みました。 WordPress は 他のあらゆる Web アプリケーションと同じように、データベース接続情報を平文でテキストファイルに保存します。暗号化証明書は意味がありません。なぜなら、データを解読するためには暗号解除用のキーも同じく Web サーバーが読み取れる場所に保存しなくてはならないからです。 今回のケースでおそらくそうだったように、悪意あるユーザーがファイルシス
Twitter Poster プラグインは危険!
WordPress Plugins Directory に登録されている 「Twitter Poster」 プラグイン ( http://wordpress.org/extend/plugins/twitter-poster/ ) は危険なので使用しないほうがいいです。 プラグインの行頭で eval(base64_decode(...)) しているのですが、この中に [ 72.9.228.239 ] と言うサーバに対してリクエストしているコードが隠されています。 このプラグインが有効になっていると新規投稿した際に、上記サーバから取ってきた情報を記事内に勝手に埋め込みます。 ソースを、ざっと眺めた限りはそれ以上の悪さ(これだけでも相当の悪さですが)をしていないようですが、この手法でアカウント・パスワードなどを特定のサーバに送信するコードを、プラグイン内に隠して埋め込んでおくことも可能です。
WordPressの更新版リリース、パスワードリセットの脆弱性に対処
「WordPress 2.8.4」では、攻撃者が管理用パスワードをリセットできてしまう問題を解決した。 オープンソースのブログ作成ソフト「WordPress」の脆弱性情報が公表されたことを受け、この脆弱性を修正した更新版の「WordPress 2.8.4」が8月12日付でリリースされた。 WordPressのブログによると、この問題を悪用された場合、攻撃者が細工を施したURLを使ってセキュリティチェックをかわし、管理用パスワードをリセットできてしまう恐れがある。リセット後の新しいパスワードはアカウント所有者にメールで送信される。 リモートからのアクセスに悪用することはできないが、非常に厄介な問題だとして、ブログでは全ユーザーにバージョン2.8.4への更新を呼び掛けている。 過去のセキュリティニュース一覧はこちら
WordPress 2.7 のメール投稿機能を使う
WordPress 2.7 にはメール投稿機能がついています。意外と知られていないようですが、ダッシュボードから「設定」-「投稿設定」を開き、下の方へスクロールすると「メールでの投稿」という欄があります。ここにメールサーバ名とユーザ名、パスワードを指定すれば良さそうです。 しかし、これを設定しただけではメールを送っても全く投稿されませんでした。PCからでも、携帯からでもどちらも動作しません。最初は cron か何かで定期的にメールボックスをチェックしてくれるのかと思ったのですが、そうではありませんでした。 実はメール送信後に、 http://(WordPress の URL)/wp-mail.php というファイルに、毎回アクセスする必要があります。この URL を叩くと PHP のスクリプトが作動して、メールボックスにアクセスしてくれるのです。 ここで気になったのは、wp-mail.ph
フロント・ページ - MarkupDancing
フロント・ページ 河本孝之のウェブサイトです。情報セキュリティから人種差別やタイポグラフィまで、個人としての趣味や関心にかかわるページを全て列挙しています。 https://www.markupdancing.net/ 2020-08-03 14:08:18 2020-08-03 14:08:18 2024-02-19 09:13:47 MarkupDancing,MD,Takayuki Kawamoto,philsci,河本孝之 Takayuki Kawamoto, 河本孝之 philsci Chief Privacy Officer, 個人情報保護管理者, general manager at department of infromation systems, 情報システム部長 Philosophy of Science Society, Japan: 日本科学哲学会 Graduat
ブログツール「WordPress」にXSS脆弱性:利用者はアップデートを
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Secuniaは10月29日(デンマーク時間)、PHPで記述されたオープンソースのブログツール「WordPress」にクロスサイトスクリプティングの脆弱性が発見されたと公表した。影響度は、5段階中下から2番目の「Less critical」に位置づけられている。 この問題は、ブラウザセッション中に任意のHTMLとスクリプトコードを実行することが可能になる脆弱性。「register_globals」が有効であることが、攻撃に必要な条件となる。 脆弱性はバージョン2.3で確認されており、他のバージョンでも影響を受ける可能性があるという。回避策は、WordPress 2.3.1へのアップデートとなる。
WordPressのセキュリティをチェックするプラグイン -wp-scanner
wp-scannerは、オンラインでWordPressのセキュリティをチェックするために導入するプラグインです。 下記のキャプチャ画像は、当サイトのものではなく、wp-scannerに掲載してあるキャプチャ画像です。 WordPress Scanner WordPressのセキュリティをチェックするためには、上記ページ(WordPress Scanner)にて、「wp-scanner activator plugin」をダウンロードして、プラグインを導入します。 プラグインを有効にした後、下記のチェックページにURLを入力し、「go」ボタンをクリックすると、WordPressのセキュリティのチェックが始まり、検証結果が表示されます。
WordPress のテーマに XSS の恐れあり » [WordPress] Tips Community
« 8 月 2008 9 月 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 WordPress のテーマに XSS の恐れあり 5 月 19th, 2007 Security, WordPress News WordPress Japan のフォーラムで知ったのですが、多くのテーマに XSS (クロスサイトスクリプティング)の恐れがあるそうです。 WordPress 2.1 以降のパッケージに含まれる classic と default といったテーマは既に対処済みだそうですが、その他のテーマをご利用されている方は確認する必要がありそうです。 WordPress Japan :: 多くのテーマに XSS 脆弱性のおそれ (EasyAll は要確認) テーマテンプレートに
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://fish1091.com/wordpress/archives/630
WordPressに未解決の脆弱性、パッチは開発中