WordPressを運用中のサーバがまるごとPHPマルウェアに感染していた時の対応メモ - Qiita
(2021.1.26 追記) 本稿の続きを書きました。 時系列で見る:WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ https://qiita.com/Ayutanalects/items/e7919afadc7d8394820f 制作会社から「自社で管理中のサイトがおかしい」との連絡を受けて、 中をのぞいたら、PHP製の複数種類のマルウェアに感染していたので対応をメモ。 以下の内容は、あくまでも自分の対応時のものです。 攻撃者がスクリプトを変更すれば同じ方法では検出できなくなるのでご注意ください。 初期状態 症状 自社管理中のWordPressサイトにアクセスすると、全く知らないサイトにリダイレクトされる 今回は allc〇〇ling.shop というEC風サイト。Kasperskyを使っていると、「警察機関指定の危険サイト」の警告あり https://sup
【実録】WordPressサイトをAWS+Laravel+Nuxtにフルリプレイスした話 - Qiita
概要 創業2期目のスタートアップ株式会社NoSchoolにて、WordPressで開発された自社サービスを、2ヶ月掛けてAWS+Laravel+Nuxt.jsにフルリプレイスした際の技術選定について書きます。 対象読者 Laravelを使ってみたい/使えるライブラリを一通り知りたい AWS構築の全体感を知りたい Nuxt.jsやVuetifyの使用感を知りたい WordPressを脱却したい 技術選定の背景 技術選定と言っても好きな技術を選べばいいというわけではありません。自社が持っている技術力、事業の状況によるところが大きいため、まずは背景としてそのあたりを説明していきます。 先に技術が気になる方はここは読み飛ばして、あとで戻ってきてください ①自社の技術力 CTO @mejileben NoSchoolは創業2期目で2019年6月現在、フルタイムメンバーが僕と社長しかいません。 そして
1時間で出来るWordPress環境構築(※永久無料・・・だった)【※2020/7/1より約300円/月が有料になります】 - Qiita
個人用メモです。 !! ======================== !! ※この記事は2019年の記事です。著者はもうWordPressを使用しておりません。この記事で紹介している内容は2019年当時の内容である事を理解した上で、実際に設定する際は最新の情報を確認しながら行ってください。 2019/9/26追記 2020年1月1日より静的IPが有料になる旨Googleから発表がありました。 $0.004/時間=最大約300円/月が有料となります。 それ以外の部分についても無料でなくなり次第記事を更新してまいります。 情報: @mattn 様 2020/3/20追記 まだ請求額が0円だったので「あれ?」って思って調べたら、上記の静的IP有料の変更は1/1から反映されてるものの、キャンペーンで2020/4/1までは割引されている事に気がついたので注釈追記しました。ちなみに割引されなかった
WordPressのプラグインVisual CSS Style Editorに権限昇格の脆弱性 | 徳丸浩の日記
最近WordPressのプラグインのアップデート状況を監視しているのですが、Visual CSS Style Editor(別名Yellow pencil visual theme customizer)が公開停止になり、しばらくたって公開が再開されていました。これは、掲題のように権限昇格の脆弱性があったので公開停止になり、修正版が出たことにより公開再開したものです。WordPressのプラグインではよく見る光景です。 注: 公開停止になったまま再開しないプラグインも珍しくありません。最近では、types、google-maps-builder、simple-share-buttons-adder、yuzo-related-post等の人気プラグインが公開停止になりましたが、本稿執筆時点で再開していません。 脆弱性の概要 脆弱性のあるバージョン: 7.1.9以前 脆弱性の種類: 権限昇格
ホワイトハウスのWordPressをチェック - Qiita
You don't have permission to access "http://www.whitehouse.gov/wp-login.php" on this server. この辺は当然アクセス不可。 /wp-content/ しか見えなくてWPのインストール先も分からない。 検索 動的な部分はここだけ? /search/ なのでここだけ許可してるのかもしれない。 WPではないかもと思ったけどソース見る限りはWP。 Akamaiっぽいので検索以外は全面的にCDN経由での表示だろうなぁ。 当然ながらセキュリティ的には厳重。 CDNからだと静的なhtmlを表示してるだけと同じなのでWPっぽい攻撃はしようがない。 あんまり突っ込むのも危険なのでここでやめておく…。 Register as a new user and use Qiita more conveniently You g
米ホワイトハウスがCMSとしてWordPressを採用。Drupalから変更
米ホワイトハウスのWebサイトが2017年12月中旬にリニューアルされ、それに合わせてCMSがDrupalからWordPressに変更されていたことが分かりました。 米国の政治動向を報じるWashington Examinerの12月14日付の記事「White House website redesigned to save taxpayers '$3 million per year'」によると、米政府はホワイトハウスのWebサイトを約1カ月数カ月かけてリニューアル。12月中旬にリニューアル後のWebサイトが公開されました(「1カ月」は翻訳ミスでした。お詫びして訂正します)。 リニューアル後はクリーンでシンプルかつ大統領にふさわしい威厳のあるデザインになっただけでなく、目的のコンテンツを見つけやすくなるなどの機能が追加され、また年間で600万ドル(約6億6000万円)かかっていたコストが
Brandoo WordPressを更新したところ「データベースの更新が必要です」が繰り返し表示される – code-lab.net
Brandoo WordPressを4.2.2に更新したところ「データベースの更新が必要です(Required Update Database)」が繰り返し表示されて管理者ダッシュボードにログインする事が出来なくなりました。「データベースの更新が必要です」画面で「データベースを更新」を選択して更新が完了しても、続行をクリックすると再び「データベースの更新が必要です」の画面に戻ります。 よくプラグインを無効にするといった対策が紹介されていますが、今回はプラグインを無効にしても解決しません。原因はBrandooのSQL文をMSSQL用に変換する処理に係わる部分でした。 実はGitHubのBrandoo-WordPress-MSSQLにBugFixが提供されています。バックスラッシュ(円マーク)を含むコンテンツを保存できない不具合に対するパッチ(https://github.com/Brando
WordPress 4.7 のREST API脆弱性がコンテンツインジェクションで済んだわけ | ぴんくいろにっき
10日以上経ってそろそろ WP4.7の脆弱性の話もあまり聞かなくなってきました。が、前回書ききれてなかったJSやPHPコードが実行される心配はなかった理由について。ちょっとだけ。 WP4.7 のREST APIの深刻なバグについて ~検証環境~ 今北産業 WP 4.7ではコンテツインジェクションの脆弱性が存在した これを利用した攻撃は世界中で行われ、いまだに放置されているサイトも有る wp_ksesのおかげで任意コード実行は免れた 脆弱性は脆弱性だけど 先週話題になったWordPresssの脆弱性。だれもが簡単なコード(HTTPリクエスト)でサイト上のコンテンツを変更できてしまうため大変問題になったものの、いまでも被害を受けたまま更新されずに放置されているサイトがまだまだ多数見つかります。 もちろんコンテンツが書き換えられればそれだけでいくらでも悪用出来てしまうので(フィッシングだとか、S
WordPress 4.7.1 の権限昇格脆弱性について検証した
エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。 本稿では、脆弱性混入の原因について報告する。 はじめに WordPress本体に久しぶりに重大な脆弱性が見つかったと発表されました。 こんな風に書くと、WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。そういうクラスのものが久しぶりに見つかったということですね。 WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り Make WordPress Core Conten
超初心者向け、いちばんやさしい… WordPress 解説書はそんなのばっかり?エンジニア向けの本はないの?→書きました
超初心者向け、いちばんやさしい… WordPress 解説書はそんなのばっかり?エンジニア向けの本はないの?→書きました みなさん、WordPress の参考書にお困りですか? ふむふむ、WordPress の本はすでに数冊持ってるし、特に困ってないよ、ですって? ですよね。実際、Amazon の本カテゴリーで WordPress を検索すると、300件以上も見つかります。 多くの本は「WordPress で初めて PHP に触れるデザイナー」もしくは「PHP を極力触らずに WordPress を使いたい個人」向けに書かれています。 中には、「WordPress に慣れて来たので、WordPress を通して PHP を勉強してステップアップしたいデザイナー」向けの本も多少あります。 しかし、これまでの WordPress 解説書で比較的ターゲットにされてこなかったのが「エンジニア」です
管理メニューの追加 - WordPress Codex 日本語版
はじめに 一般にプラグインやテーマの作者は、カスタマイズ用の設定画面、オプション画面を提供する必要があります。もっとも良い設定画面の提供方法は管理メニュー項目を作成することでしょう。ユーザーは管理画面を使用して設定画面にアクセスできます。この記事ではプラグインの作者を対象に、管理メニューや管理画面の追加方法について説明します。注意 : ここではプラグインの作成、およびアクションやフィルターの プラグイン API について基本的な知識を仮定します。 関数リファレンス どこでもフックが必要 管理メニューを追加するには、次の3つのステップが必要です。 メニュー作成用のコードを含む関数を作成する admin_menu/en アクションフックを使用してステップ1で作成した関数を登録する。ネットワーク に管理メニューを追加する場合は、代わりにnetwork_admin_menu/en を使用する。 メ
Rewrite APIその2 WordPressでアプリを作る基本(WordPressプラグイン開発のバイブルのボツ原稿から) - Shinichi Nishikawa's
add_rewrite_rule() それでは、ここからはいくつかの関数について事例を挙げながら説明をしていきます。 add_rewrite_rule()関数は、$wp_rewrite->rulesにリライトルールを追加するための関数です。 add_rewrite_rule( $rule, $rewrite, $position ); $rule: 正規表現でマッチする文字列を指定します $rewrite: $ruleにマッチする文字列をどういうURLに変換するのかを指定します。$match配列でマッチした文字列を利用できます。 $position: ’top’か’bottom’を指定して、新しいルールの挿入位置を決めることができます。’top’を指定すると一番最初に挿入されるので、最優先され、bottomは最後に挿入されるので、他のすべての正規表現の後にマッチングがチェックされます。未指
WordPress 独学者にありがちな失敗とは?
WordPress は世界のブロガーたちに愛される、最も人気のあるプラットフォームだ。日本でも「正解のブログ」を作ろうとする人たちの間で一気に人気が高まっており、ビジネススキルとしても活かせる WordPress を独学で勉強する人は益々増えてきている。 WordPress についての情報は日本語でも十分に出回っているが、それでも「はじめの失敗」は付きもの。そこで今回は WordPress 独学者に良くある9つの致命的な失敗をご紹介しよう。これから WordPress を勉強していこうという初心者の方は、ぜひ目を通して欲しい。 WordPress の使い方が 30 分から学べる!WordPress オンライン講座 1. 間違えて WordPress.com の方を選ぶ実は WordPress をはじめるには2つ方法がある。1つは、WordPress.com にユーザー登録をして今スグに W
ニュースリリース 「SiteGuard WP Plugin」無償提供開始
JP-Secure、日本語対応WordPress用セキュリティプラグイン 「SiteGuard WP Plugin」無償提供開始 〜 国内ベンダー初、WordPressのセキュリティ対策と発展に貢献 〜 2014年10月24日 株式会社ジェイピー・セキュア 株式会社ジェイピー・セキュア(本社:神奈川県川崎市、代表取締役:菅原修、以下「JP-Secure」)は、日本語対応のWordPress用セキュリティプラグイン「SiteGuard WP Plugin」の無償提供を開始しました。 WordPressは、簡単にブログを作成できるだけでなく、プラグインによる機能拡張など、ユーザーにとって様々な魅力がある実績豊富なオープンソースのCMSです。特に、ホスティングサービスを利用しているユーザーからの人気が高く、世界的にも圧倒的な人気を誇っています。しかしながら、不正ログインや改ざんなど、WordPr
ACF | Advanced Custom Fields Plugin for WordPress
Edit smarter with Advanced Custom Fields for WordPress Developers. Content editing made easy Use the Advanced Custom Fields plugin to take full control of your WordPress edit screens & custom field data. Learn more View pricing Proudly powering 2+ million websites and achieving a 5 star rating! Add fields on demand Our field builder allows you to quickly and easily add fields to WP edit screens wi
wp-login.php へのアタックが多くなってきているので……
ユーザー名をadmin以外にしてもセキュリティ上の意味は無いとどこか(どこかは失念)で読んだのですがそうなんでしょうか? WordPressのログインに対するブルートフォースアタックには有効だと思うのですが。。 WordPressのセキュリティ関連のドキュメントを訳していてちょっと疑問に思ったので教えてくださーい! ユーザー名候補リスト(辞書)をベースにパスワードのみをリトライして攻撃してくる場合においても、パスワードをWordPress判断で”強”になる登録をしていると、パスワード通過までに数年?かかるはずです。 ユーザー名を辞書以外にすると更に時間がかかり天文学的日数を要しますが、パスワードに対する危機感をお持ちであれば、adminでも問題ないという認識になります。 これ以上の心配をする場合、FTPやSSHで固定IP許可や秘密鍵の管理を行なっているか、rootでログインできなくしている
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
TechCrunch
プラグイン・リソース - WordPress Codex 日本語版
Loading...