自社HP(WordPress)をスマホで見ると18禁サイトに転送される事例 - 呑んべえ柴やんのセキュリティABC
こんにちは、数十年ぶりのフィールドアスレティックで童心に戻れた柴やんです。 既に新年度も始まり入学や就職など新たな立場で新生活を送っている人たちと同じように、この春に独自ドメインを取得してwordpressサイトを始めた方も応援したいと思いまして。 実生活に限らずネット上においても事件や事故の当事者になるのは遠慮したいところですが、予防の意味で情報漏洩やウェブサイトの改ざん事例に学ぶところは多いと思います。 今回は知り合いが体験したウェブサイト改ざんの事例を紹介したいと思います。 今年の2月上旬、知り合いが管理しているworpdressのウェブサイトで不思議な挙動が見られると連絡をもらったのがきっかけでした。 早速URLを教えてもらい、パソコンとスマートフォンのそれぞれでアクセスしてみたら確かにスマートフォンの時だけ18禁サイトに自動的に転送されてしまいました。 症状が症状なので、取り急ぎ
WordPressで「ささっと作る」で請けれなくなってる現状。 | バニデザノート
WordPress案件、前からいろいろ請けさせてもらっているんですが だんだん「簡単にー」っていう範囲から外れてきていて どんどん予算もかさばっている現状があります。私なりの把握していることを書いてみます。 WordPressが広まりだした頃から、アタックを受けやすくなっているWordPress。 WordPressが動いて安くて便利なロリポップでのアクセス制限のハードルが高いです。 一時期特にロリポップがやっていた「簡単インストール」でやっていたロリポップ加工版のやつに穴があった(?)か何かで、ファイルアップロードしているものにも影響が出てくるように。 ログインのアドレスを変えてみたり、サーバーに関係なくアタックへの対処法っていろいろあったんですが、どんどん.htaccess制限されちゃって。 個別IPアドレスを通す設定にしてるものだから、「IPアドレスって何?」って人にはすごいハードル
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
