WordPressを運用中のサーバがまるごとPHPマルウェアに感染していた時の対応メモ - Qiita
(2021.1.26 追記) 本稿の続きを書きました。 時系列で見る:WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ https://qiita.com/Ayutanalects/items/e7919afadc7d8394820f 制作会社から「自社で管理中のサイトがおかしい」との連絡を受けて、 中をのぞいたら、PHP製の複数種類のマルウェアに感染していたので対応をメモ。 以下の内容は、あくまでも自分の対応時のものです。 攻撃者がスクリプトを変更すれば同じ方法では検出できなくなるのでご注意ください。 初期状態 症状 自社管理中のWordPressサイトにアクセスすると、全く知らないサイトにリダイレクトされる 今回は allc〇〇ling.shop というEC風サイト。Kasperskyを使っていると、「警察機関指定の危険サイト」の警告あり https://sup
wp-config.php の編集
海外のホスティング会社 英語版をご確認ください。 トップ ↑ データベースの文字コード設定 DB_CHARSET で MySQL データベーステーブルの定義に使われる文字コード設定(例:タイの TIS620 用 tis620)の指定ができるようになりました。 デフォルト値の utf8 (Unicode UTF-8) は、ほとんどの場合に適した設定です。UTF-8 はどの言語にも対応するため、通常 DB_CHARSET は utf8 のままにしておき、自分の言語に合う DB_COLLATE を使用してください。 次の例は、WordPress のデフォルト値 utf8 の場合です。 define( 'DB_CHARSET', 'utf8' ); 通常 DB_CHARSET のデフォルト値を変更する必要はありません。ブログで別の文字コード設定が必要な場合は、MySQLでサポートされる有効な文字セ
WordPress 5.5に実装されたネイティブ サイトマップ機能を無効化する方法
[レベル: 中級] この記事では、Wordpress 5.5 に標準実装されたサイトマップ生成機能を無効化する方法を紹介します。 WordPress のコア XML サイトマップ機能 リリースされたばかりの WordPress 5.5(この記事を公開している時点での最新バージョン)は、検索エンジン向けの XML サイトマップを作成する機能をコア機能として標準実装しました。 これまでサイトマップ生成にはプラグインを利用していました。 コア サイトマップは WordPress をインストールしたディレクトリの直下に作られます。 ファイル名は wp-sitemap.xml です。 example.com に WordPress をインストールしていたらサイトマップの場所は example.com/wp-sitemap.xml になります。 アクセスしたサイトマップはこんな感じです(正確には、サイ
ACF | How to Query Posts by Custom Fields
Overview This article demonstrates how to retrieve an array of post objects from the database using native WordPress functions. There are many ways to query posts in WordPress, however, this article will make use of the common get_posts function, WP_Query object and pre_get_posts filter. Getting Started You can skip this section if you’re already familiar with the above function, object, and filte
WordPressのCDN化
2. 自己紹介 • 鍋島 公章 (なべしま まさあき) • 国産CDN (J-Stream CDNext)やってます • 大抵の機能(HTTP/2、動的ファイルのキャッシュ、CDN API、…)は実装 • 値段はCloudFrontの半額程度 • 代理店募集中 • 無料アカウントの発行 • エンジニア向けCDN教育(1日コース) • 担当SEのアサイン • WordCampにブースも出しています • セキュリティCDN(Incapsula)も売ってます • DDoS対策+WAF+CDN+セキュリティオペレーションセンタ © 2016 J-Stream Inc. All Rights Reserved. 2 3. はじめに • WordPressのCDN化 • イメージのみのCDN化(CDNオブジェクト配信) • プラグインで簡単に設定できる • html生成ボトルネックが残る(同時接続X百
WordPress で外部から来る変数を扱う時の注意点
不要なバックスラッシュを除去する WordPress で $_GET、$_POST、$_REQUEST、$_COOKIE、$_SERVER といった PHP のスーパーグローバルの値を扱う時は、まず wp_unslash()を使用して不要なバックスラッシュを取り除いてやる必要があります。これは WordPress 内部において PHP のマジッククオートと同等の処理が行われているためです。 $data = wp_unslash( $_GET['data'] ); データを無害化 (サニタイズ) する 外部からやって来るデータにはシステムやユーザーに害を与える危険なものも含まれています。データの種類・文脈 (コンテキスト) に応じて適切な無害化 (サニタイズ) 処理を行ってください。 以下にサニタイズ処理の例を示します。 たとえば、利用されるデータの型が予め整数に決まっている場合は PHP
WordPress で Apache の mod_cache を設定する - Qiita
やりたいこと WordPress を動かしている Apache HTTP Server (Version 2.4) で mod_cache (mod_cache_disk) を設定したい。 WordPress は mod_rewrite で Pretty Permalinks を設定している。 リクエスト先(一覧 or 記事など)によってキャッシュの可否・有効期限を変更したい。 分かったこと すべてのリクエスト(レスポンス)に対するキャッシュは rewrite 後のURL (/index.php) のキャッシュとして扱われる。 よって、特定のURLやディレクトリをキャッシュさせたい場合でも CacheEnable の対象に /index.php が含まれている必要がある。 rewrite 後のURL (/index.php) をリクエストされたURL毎にユニークになるようにしなければならな
SEO対策としてWordPressにLast Modifiedヘッダーを追加してみる | | リーテラトバリタブログ
リーテラトバリタブログ Webの技術(プログラミングなど)について、自身が触れたものや問題が生じて解決したこと、理解したことなどを書いています。よく他の方が書かれている技術系ブログに助けられているので、自分も誰かの一助となれればと。ただ、基本へっぽこです。ご容赦ください。そしてたまにWebとは一切関係のない趣味の話とかも書くかもです。。 検索botに更新日を知らせて効率的なクローリングを目指す サイトの検索順位を上げるためには、定期的に新しい記事を更新するのも大事ですが、既存記事の編集・調整も大事な作業になります。 しかし、編集して記事を更新しても、それが検索bot(クローラー)に見てもらえないと全く意味がありません。 そこで、クローラーに更新日を分かりやすく伝えられる方法はないか。と、考え、HTTPヘッダー(もしくはMetaタグ)にLast-Modifiedを追加することにしました。 H
たった30分でWordPressを冗長化する方法 – (っ´∀`)っ ゃー | 一撃
突然ですが、WordPressを冗長化したいと思いませんか?1台サーバが落ちてもサービス影響を最小限に、しかもサーバ代以外のお金をかけず冗長化できる方法があるんですよ奥さん。 ■ NW構成 下記の図のようなNW構成で実現可能です。 DBはマルチマスタにせず、マスターDBはServer #1 とし、Server #2、および以降スケールアウトするマシンはすべてSlaveとします。 ■ 障害パターン Server #2 の全体障害および部分障害がおきても、DNSラウンドロビンによりServer #1へアクセスした場合は影響がありません。Server #2のMySQLが落ちていても、Server #1のMySQLが生きている限り影響はありません。Server #1の全体障害およびDB障害の際は、エントリの投稿やコメントをつけたりなどの更新系は止まっても、サイト閲覧には支障ありません。 ■ 用意す
WordPress Versions
The following are the various versions of WordPress, listed chronologically from the oldest to newest, along with the Change Log information on new features and improvements in each version. NOTE: WordPress core developers share a love of jazz music, and since WordPress 1.0, all major releases are named in honor of jazz musicians they admire. Released Versions Version 0.7 VersionRelease DateMusici
WordPressで特定の部分だけ自動整形のPタグを消す
実現したいこと 実現したい事は以下の通り。 特定の範囲や部位を対象に、pタグを消す 本来は「WordPressの自動整形で挿入されたpタグ」だけに限定したかったのですが、その仕組みが作れず、範囲内の全てのpタグを消すという方法に切り替えた次第です。 コード 以下コードです。 //ショートコードで囲んだ範囲のpタグを消す add_shortcode('nop','nop_func'); function nop_func($atts, $content = null) { $content = str_replace( '<p>' , '' , $content ); $content = str_replace( '</p>' , '' , $content ); return $content; } 使う場合は、該当箇所を以下のようにショートコードで囲みます。 [nop] pタグが入って
get_template_part()に引数として任意の変数を渡せるようになった | WWWクリエイターズ
すこしWordpressのテーマ開発に慣れてきた方は、「get_template_part()で展開したテンプレートファイル内で、外の(スコープ外の)変数を参照できない」という課題感を経験すると思います。 get_template_part()とは? まずは、get_template_part()の期待された使い方から。 WordPress: devサイトのマニュアルから: // テンプレート部品をテンプレート内にロードする get_template_part( string $slug, string $name = null ) 引数の最初と最後でファイル名を指定します。すなわち // テーマフォルダ内の「content-product.php」をロードする <?php get_template_part( 'content', 'product' ); ?> のように使います。 もち
WordPressのサイトをSSL化したい | さくらのサポート情報
さくらのレンタルサーバ、さくらのマネージドサーバ上で稼働するWordPress(ワードプレス)にて、常時SSLを有効にする方法について記載しています。 常時SSLを有効にすることでhttps://~ではじまるURLにてページを表示させることが可能です。 (常時SSLについてはこちらをご覧ください) ※SSL設定機能はWordPress5.7以上で標準提供されており、プラグインなどは必要ありません。 さくらのレンタルサーバ常時SSL化プラグインは2021年3月をもって新規提供を終了いたしました。プラグインのサポートは終了しておりますが、利用方法については以下のマニュアルよりご確認いただけます。 常時SSL化プラグインを設定したい(WordPress) また、プラグインから現在の方法に乗り換える場合は、以下のマニュアルをご確認ください。 常時SSL化プラグインから移行したい(WordPress
WordPress 4.7.1 の権限昇格脆弱性について検証した
エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。 本稿では、脆弱性混入の原因について報告する。 はじめに WordPress本体に久しぶりに重大な脆弱性が見つかったと発表されました。 こんな風に書くと、WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。そういうクラスのものが久しぶりに見つかったということですね。 WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り Make WordPress Core Conten
ワードプレスをバージョンアップしてCSSが崩れる現象について
今回はワードプレスについてです。 ワードプレスでアップデートしたらなぜかスタイルが崩れたということはありませんでしたでしょうか? いろいろと原因があると思いますが今回はfunctions.phpにwp_enqueue_styleで読み込ませている場合に限りますがその対象法をご案内します。 wp_enqueue_style functions.php // common.css wp_enqueue_style('common', get_template_directory_uri().'/common/css/common.css'); 出力場所はheader.phpのwp_head()ところに出力されるのですが一向に読み込んでくれないのです。 実際上記のように読み込ませている場合はこのstyle-nameの部分がcommonになっているのが原因です。今まではそんなことはなかったのですが
Really Simple CSV Importer 日本語解説&カスタマイズ例
WordPressのプラグイン、Really Simple CSV Importer のバージョン1.0をリリースしました。ということで、今さらですが、プラグイン説明欄の日本語訳を載せておきます。ネット上には、何やら怪しげな解説記事がちらほら出回っているようですので…。 バージョン1.0では、アクションフックを追加し、便利なヘルパークラスも新作しました。当初考えていた機能はこれで出そろいましたので、あとはメンテナンスやら多言語対応やらをのんびりやっていこうかと思います。次に作成するWordPressプラグインとしては、concrete5のインポートファイル形式へのエクスポートプラグインを予定しています。 なお、Really Simple CSV Importerには、torounitさん作のReally Simple CSV Importer Media Plusという派生プラグインが存在
プラグインを使ってWordPressサイトを超簡単に多言語化する | ゆうそうとITブログ
ビジネスホテルの予約がなかなか取れない、取れたとしてもホテルの部屋の価格もだいぶ高くなっているという話を良く聞きます。原因は外国人旅行者が増えていることのようです。2020年には東京オリンピックも開かれるということでますます日本が注目される予感。 ということはWebサイトも多言語化した方がいいのではないかな?と思いついて、WordPressで多言語化をするプラグインを試してみました。 多言語化プラグイン qTranslate X をインストールする 色々検索して、これがいいのではないかな?と思うプラグインを見つけました。 qTranslate X です。以前qTranslateというプラグインが人気があったようなのですが、これはその後継のプラグインのようです。 このプラグインをインストールするには、 ダッシュボード プラグイン>新規追加 で qTranslate X と入力してリターン。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ACF | JavaScript API
Get Select Field Options - ACF Support
WordPressのテーマphpでショートコードを呼び出す方法 - Web制作・Webシステムの株式会社ワイワイエンジン