JVN#15241647 WordPress 用プラグイン WP Statistics におけるクロスサイトスクリプティングの脆弱性
WordPressに関するkutakutatriangleのブックマーク (49)
-
kutakutatriangle 2022/05/24
-
WordPressのテーマを作る羽目になったWebエンジニアへ
はじめに Webエンジニアの皆さん、日々の業務お疲れ様です。皆さんは、さぞや楽しいエンジニアライフを送っていることでしょう。最近は技術の進歩も落ち着いてきましたので、Rustなんかに手を出して、先行者利益を目論んだりしているのではないでしょうか。 さて、そんな楽しい中、たまにやってくる何とも言い難い案件というのが「WordPressのテーマ作成」です。普段、大規模開発や自社サービスに携わっている方は、WordPressに関わることはないかもしれませんが、請負業務やフリーランスの方には、ふと湧いてくる案件でもあります。そして、何かと言い訳を付け、できる限りWordPress関連の案件は避けているのではないでしょうか。 なぜ、エンジニアはWordPressを嫌うのか エンジニアというのはWordPressを嫌う傾向にありますが、それは何故でしょうか。 プライドがゆるさない WordPress界
-
EC2で運用しているWordPressサーバーをECS/Fargateに移行しました | ランサーズ(Lancers)エンジニアブログ
SREチームの安達(@adachin0817)です。今回WordPressサーバーであるEC2からECS/Fargateに移行しましたが、紆余曲折を得て、苦労したところ、技術的な部分、最終的には複数のリポジトリを一つにまとめたことなどを紹介したいと思います。まずはプロジェクトとサーバーの構成から説明していきましょう。 ランサーズのWordPressとECS時代のサーバー構成 https://engineer.blog.lancers.jp https://info.lancers.jp https://l-ap.jp https://connect.lohai.jp https://lohai.jp https://tips.lancers.jp https://www.lancers.co.jp https://www.lancers.jp/assistant/cases https:/
-
wp-k8s: WordPress on privately hosted Kubernetes cluster (Raspberry Pi 4 + Synology) - FoolControl: Phear the penguin
wp-k8s: WordPress on privately hosted Kubernetes cluster (Raspberry Pi 4 + Synology) Adnan Hodzic November 12, 2021 Blog post you’re reading right now is privately hosted on Raspberry PI 4 Kubernetes cluster with its data coming from NFS share and MariaDB on a Synology NAS. Purpose of this post is to serve as an ultimate guide on how to build a (prod ready) RPI k8s cluster and deploy WordPress CMS
-
SEOまるわかり大全集 – ワードプレステーマTCD
WordPressサイトの画像を軽量なAVIFに変換できるプラグイン「ShortPixel Image Optimizer」 2024.04.26
-
GatsbyJSの本を書いた理由 | エビスコム - EBISUCOM
意外なところに手を出してきたと思われるかもしれませんが、きっかけは WordPress & Gutenberg なんです。 2015年の Automattic社 Matt Mullenweg 氏の "Learn JavaScript, Deeply" という言葉。そして、バージョン5.4までたどり着いた現在の WordPress と、見え始めた Block Based Theme。 世間では WordPress=PHP という認識がまだまだ強いわけですが、とっくに、Gutenberg=JavaScript(React)なわけです。 すでに見えている未来を考えれば、WordPress=JavaScript と言われる時代もそう遠くはないのではとさえ思います。 なので、自分たちも JavaScript(React)をもっと身近なものにしておかなければと動き始めました。 入門者の通常ルート通り、
-
We are JavaScripters!でWordPressのフロントエンドをGatsbyにした話をLTしてきた - mottox2 blog
2018.05.22We are JavaScripters!でWordPressのフロントエンドをGatsbyにした話をLTしてきたblogltgatsbywordpress 5/21(月)のWe Are JavaScripters!でWordPressのフロントエンドにGatsbyを採用した話をしてきました。 前回のRoppongi.js#2でGatsby + Netlifyの爆速開発をLTしてきたのですが、その続編の話になります。 > スライドスライド https://speakerdeck.com/mottox2/wordpress-gatsby > モチベーションモチベーション 内製出来る体制がありフロントエンドエンジニアがWordPressを担当していると前提の元でのお話です。 エンジニアの工数が割けない状態であればWordPress単体で使い続けるのがいいと思います。 簡単に
-
-
WordPressプラグインを狙う攻撃が活発化している件をまとめてみた - piyolog
「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。 3月以降脆弱性が確認されたプラグイン 2019年3月以降、脆弱性の悪用が報告されたプラグインは次のもの。 No 報告日 対象のプラグイン インストール数 バージョン 脆弱性 1 2019/03/15 Easy WP SMTP 40万件超 1.3.9以前 管理者への特権昇格 2 2019/03/21 Social Warfare 6万件超 3.5.2以前 XSS(格納型)、任意コードの実行 3 2019/03/30 Yuzo Related Posts 6万件超 5.12.91以前 XSS(格納型) 4 2019/04/09 Visual CSS S
-
サーバーの設定、ftp接続をしたい(サーバーは先方が用意。VNCからリモートコンソール接続)
前提・実現したいこと 現在ITインフラ会社のコーポレートサイトを制作しております。 公開用のサーバーは先方で用意してもらったのですが、以下のことがわからない状態です。 ①FTP接続 ②ブラウザからのアクセス方法、ドメイン設定 ③WordPress用にデータベースの作成 普段はヘテムルやエックスサーバーのレンタルサーバーを使用しており、 諸々の設定はコントロールパネルから行い、の情報を元に接続しているのですが、 先方からは接続情報として、サーバーのログイン情報(ユーザー1つとroot権)と リモートコンソール(VNC)接続の情報(IP、ポート、パスワード)をもらいました。 MACのVNCクライアントから接続し、ログインするところまではできました。 FTPクライアントのTransmitから接続を試みているのですが、 リモートコンソールというものに馴染みがなく、 調べても同じようなケースややり方
-
WordPressの更新版公開、直ちに適用を
米セキュリティ機関のUS-CERTによると、これら脆弱性を悪用されれば、リモートの攻撃者にWebサイトを制御される可能性もあるという。 WordPressの更新版は、管理画面でダッシュボードに表示される更新のリンクをクリックすると適用できる。自動更新を有効にしていれば、バックグラウンドで自動的に配信される。 関連記事 「WordPressのアップデートは大至急」 攻撃発生でIPAが注意喚起 Webサイトをマルウェア配布に悪用するために脆弱性が悪用される恐れがあることから、コンテンツ管理でユーザーの多いWordPressの更新を急いで適用してほしいとしている。 WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害 脆弱性情報が公開されてから48時間足らずの間に悪用コードが投稿され、脆弱性のあるサイトを探して攻撃を試す動きはインターネット全体に広がった。ハッキングされた
-
WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
WordPress.org が提供する WordPress は、オープンソースのCMS(コンテンツマネジメントシステム)です。 WordPress には、REST API の処理に起因する脆弱性が存在します。 本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。 本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。 開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。 2/7 更新 Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報
-
【実録】WordPressの怪しい挙動をlsofとstraceコマンドで調査する方法 | DevelopersIO
はじめに こんにちは植木和樹@上越妙高オフィスです。 利用しているEC2を踏み台にした外部への攻撃が行われていると、攻撃先のサーバー管理者からAWS宛に不正利用報告(Abuse)が送られる場合があります。AWSでは報告を受けて、そのサーバー(IPアドレス)の利用者宛に警告メール(Abuse Report)で通知します。 今回、とあるAbuse Reportが届いた際の攻撃手段の調査をメモしたので、主に有用だったlsofとstraceコマンドの使い方についてまとめました。 EC2マネージメントコンソールで状態を確認する まず確認するのはマネージメントコンソールです。AWSから通知のあったIPアドレス(Elastic IP)から、EC2インスタンスを特定します。 次に各種CloudWatchのメトリクスを確認します。外部への攻撃を行われるとNetwork Outが極端に高くなる傾向があります。
-
ARTIFACT ―人工事実― | Weblog/blog/ブログ ツールリスト
ビースティーノカジノ- Beastino Casinoであなたの内なる獣を解き放ちましょう。何千ものトップスロットの中から選び、テーブルゲームで順番を決め、ライブカジノで動物のアクションを楽しむことができます。 カジノを見る ビースティーノカジノ ビーストモードで行こうBeastinoは、最大のゲームコレクションを持つカジノの獣です。アカウントを作成するのに時間はかかりませんし、唯一の問題は、最初に何をプレイするかを決めることでしょう。 Microgaming、NetEnt、Yggdrasil、Pragmatic Play、その他多数のトップクラスのゲームプロバイダーがここにあります。Beastinoでプレイすれば、いつでもジャングルの王様になった気分になれるでしょう。 Beastinoで何千ものゲームをプレイスロットが欲しいなら、私たちにはスロットがあります!正確には3000台です。次の
-
3年くらいPloneを使って感じたことまとめ - ぼくにがうりくん。
Plone 時代のブログ記事、自作ブログ時代の記事、mixi 日記などをまとめて今使っているこのブログに取り込んだ。いやあ疲れた。一番きつかったのが Plone の記事。なにしろ ZODB があつかいにくすぎてどうしようもなかった。二度と使いたくない。二度と使いたくない。次が mixi日記。でもこれは日記や画像を一括取得してくれるソフトがあったのでそれを使わせてもらった。とても助かる。テキストでもHTMLでもいいからとにかくローカルに落としてしまえばこっちのもんだかんね。自作ブログは PostgreSQL で作ってたんだけど DB ダンプが... アップデートが面倒。 Plone には正式なアップデートのやり方があるんだけど、それについて解説してあるサイトが意外と無くてびっくりする。俺も最初のうちはその方法を知らなかった。 その手順もめんどくさい。なにしろ buildout.cfg をいち
-
Bootstrap ベースのシンプルでカスタマイズ性の高い WordPress テーマ Habakiri が公式ディレクトリに掲載されました。
Habakiri Bootstrap ベースのシンプルな WordPress テーマ。レスポンシブ、多くのカスタマイズ機能。圧縮された CSS・JS を使用する高速化対策。Microformats 対応。Sass、クラスベースの functions.php。 公式サイトを見る 先日、WordPress の公式テーマディレクトリにテーマ Habakiri が掲載されました。以前掲載された Kotetsu に続き2つ目のテーマ掲載となります。 お使いの WordPress の管理画面にログインし、テーマインストール画面で「Habakiri」と検索すればすぐにインストールできます。このサイトも Habakiri を親テーマとして使っているので、だいたいの雰囲気はわかるかなと思います。 Habakiri の特徴 WordPress テーマ Habakiri には次のような特徴があります。 Boot
-
WordPressの脆弱性は人気テーマやプラグインにも影響、ゼロデイ攻撃の発生も
コンテンツ管理システム(CMS)のWordPressが5月7日の更新版で修正した脆弱性は、デフォルトで使われているテーマも含めて多数のWordPressプラグインやテーマに影響を及ぼすことが分かった。セキュリティ企業の米Sucuriによれば、情報が公開される前からこの脆弱性を突くゼロデイ攻撃の発生も報告されていたという。 Sucuriの5月6日のブログによると、脆弱性はアイコンフォントパッケージの「Genericons」に含まれる「example.html」というファイルに起因する。悪用された場合、DOM(Document Object Model)ベースのクロスサイトスクリプティング(XSS)攻撃を仕掛けられる恐れがある。 Genericonsは、デフォルトでインストールされているテーマの「TwentyFifteen」や、インストール数が100万を超す人気プラグインの「JetPack」に
-
「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在
セキュリティ企業によれば、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在する。 WordPressは4月27日、コンテンツ管理システム(CMS)最新版の「WordPress 4.2.1」を公開し、深刻な脆弱性に対処したことを明らかにした。脆弱性はこれまでの全バージョンに存在するといい、ユーザーに対して自分のWebサイトを直ちにアップデートするよう強く勧告している。 これに先立ちフィンランドのセキュリティ企業Klikkiは4月26日に公開したアドバイザリーで、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを確認したと伝えていた。 Klikkiによれば、この問題を悪用された場合、認証を受けない攻撃者がWordPressの
-
【セキュリティ ニュース】「WPTouch」など多数のWordPressプラグインに脆弱性(1ページ目 / 全1ページ):Security NEXT
WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。 米Sucuriによると、問題の脆弱性は、4月13日の週に判明したもので、関数「add_query_arg()」「remove_query_arg()」の使用方法に起因。公式ドキュメントにある記載が不明確で、多くのプラグイン開発者が安全ではない方法で関数を用いていると同社は指摘している。 実際に影響を受けたプラグインを見ると、「WordPress SEO」「Google Analytics by Yoast」「All In one SEO」などSEO機能を提供するプラグインのほか、スマートフォン向けのインタフェースを提供する「WPTouch」、リンクのチェック機能を
-
WordPressのプラグイン「WP Super Cache」に深刻な脆弱性
Webページの表示を高速化するためのWordPress用プラグイン「WP Super Cache」に深刻な脆弱性が発見され、修正のためのアップデートが公開された。 WP Super Cacheはダウンロード数が100万を超えている人気プラグイン。最新バージョンの1.4.4で脆弱性が修正されている。 セキュリティ企業Sucuriの4月7日のブログによると、修正前のバージョンには持続型クロスサイトスクリプティング(XSS)の脆弱性が存在していた。悪用された場合、攻撃者が細工を施したクエリを使って同プラグインのキャッシュされたファイルリスティングページに悪質なスクリプトを挿入することが可能だった。 ただし、このページを表示するためには有効なnonceを必要とすることから、攻撃を成功させるためにはWebサイトの管理者に手作業でその特定の部分を参照させる必要があるという。 問題のスクリプトが実行され
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しました