TOP
> おまかせNews
WordPressの情報漏洩に繋がる脆弱性について(2015年10月号)
CMSとして広く採用されているWordPressですが、近年、WordPressやプラグインが持つ脆弱性を悪用した不正アクセスの被害が広がっております。
1つの例として、XML-RPCを利用したサイト改ざんの対処をご案内差し上げますので、ご参照下さい。
(1)概要
WordPress 3.5以降において、XML-RPC経由でログインして記事の投稿などリモートで制御することが可能となる機能が標準で備わっております。
リモートによるWordPressへのログイン機能を利用し、パスワード総当たり攻撃が可能となります。
(2)影響
ログインに成功されたユーザが記事の編集権限を持っている場合、サイト改竄(更なる攻撃コードの挿入など)を行われる可能性があります。
(3)対策
WordPressが設置されているディレクトリ配下に、[xmlrpc.php]へのアクセスを禁止(または制限)する[.htaccess]を設置するなどの方法があります。
・記述例
<Files "xmlrpc.php">
order deny,allow
deny from all
#Allow from 許可するIPアドレス
</Files>
攻撃コードが埋め込まれても、外見(デザイン)上からの判断は困難です。また、第三者機関によって、攻撃サイトと認識され、訪問者が接続出来なくなることもあります。
見覚えのないファイルが意図せず設置されていないかなど、定期的にご確認下さいますようよろしくお願い申し上げます。
過去のおまかせNews
ここでは、過去にお送りした『おまかせNews』のバックナンバーをご覧いただけます。
「こんな情報が欲しい!」「こう改善できないか?」など、みなさまからのご意見・ご要望を是非お聞かせ下さい。
ご意見・ご要望はこちら →
info@omakase.jp
※過去の記事は、当時の情報をそのまま掲載しております。サービス変更済みであったり、リンク切れなどの際はご容赦下さい。
・2010年3月号
Gumblar[ガンブラー]ウィルスの対策について
・2006年9月号
「メールのヘッダ情報の見かた」
・2006年8月号
1.メール設定変更のお願い」
2.保守サービスの向上のための収容サーバのお知らせ」
・2006年7月号
エラーメッセージの意味とその対処方法
0.初めに
1.相手先のメールボックスが一杯になっている
2.送信先のアドレスが間違っている
3.相手先のサーバが受け取りを拒否している
・2006年6月号
メールの送信ができない!?〜Port25番ブロックについて(再掲載)
・2006年5月号
メールの送受信エラーのお問い合わせ方法について
・2006年4月号
「ある特定のメールが受信が出来ない」について
・2006年3月号
1.Winnyについて
2.お申し込みはお早めに!
・2006年2月号
1.進化するフィッシング詐欺について
2.口座振替のおすすめ
・2006年1月号
port25番ブロックについて
・2005年12月号
ボット型ウイルスについて
・2005年11月号
1.おまかせサーバサービスのホームページについて
2.年末年始の休業期間について
・2005年10月号
複数のメールソフトを使い分ける
・2005年9月号
お客様の登録情報に変更があった場合のお手続き方法
・2005年8月号
1.「新着メールが届かない」というお問い合わせについて
2.セキュリティもおまかせキャンペーン締め切り間近
・2005年7月号
1.「POP/SMTP over SSL」開始とキャンペーンについて
2.メール容量追加サービスのディスク容量拡張について
3.Pharming (ファーミング)詐欺について
・2005年6月号
1.ウィルスチェック得々キャンペーンの延長について
2.SSL(Secure Socket Layer)とは
・2005年5月号
1.サービス料金の一部値下げについて
2.ウィルスチェック得々キャンペーンについて(サーバでウィルスチェックを行うメリットは?)
・2005年4月号
1.今後のサービス提供予定
2.お客様お問い合わせ窓口旧メールアドレスおよび旧ホームページアドレスの廃止について
・2005年3月号
1.おまかせサーバサービスでご利用いただけるCGIについて
2.「ウィルスチェックサービス」の警告メールの見方について
・2005年2月号
1.「.COMもおまかせキャンペーン」のお知らせ
2.「ご紹介プログラム」開始について
3.「おまかせシンクロコンテンツ制作サービス」のご紹介
4.「サービス約款」変更のお知らせ
・2005年1月号
会員専用ページのご利用方法(メール追加・変更・削除)
・2004年12月号
1.年末年始におけるセキュリティ対策について
2.個人情報保護法への対応について
3.年末年始のお知らせ
・2004年11月号
おまかせサーバサービスのメールサーバからエラーメッセージが送られてきた場合の対処方法(2/2)
・2004年10月号
おまかせサーバサービスのメールサーバからエラーメッセージが送られてきた場合の対処方法(1/2)
・2004年9月号
1.FTPサービスの機能と活用例のご紹介
2.ホームページの容量の調べ方
・2004年8月号
1.会員専用ページリューアル!
2.メールの発信元組織の調べ方
・2004年7月号
1.ログ分析サービスの有効な活用方法
2.受信メールの発信元の調べ方
・2004年6月号
1.新しくなった「ログ分析サービス」〜Urchin〜のご紹介
2.DNSの役割とその重要性について
・2004年5月号
悪質なウィルスの被害を防ぐ為には
・2004年4月号
1.おまかせNews発行
2.消費税の総額表示
3.会員専用ページのリニューアル
Copyright© HYPER BOX All rights reserved.
おまかせサーバサービスおよびサービスロゴは、株式会社ハイパーボックスの登録商標です。