2018年6月2日、WordCamp Osaka 2018にて。架空のWordPressサイト制作案件の詳細な見積とともに、日頃、私が何を考えて見積を組み立てているのかをご紹介しました。
どれだけかかるの? WordPressでウェブサイト制作、お見積の実際
2018年6月2日、WordCamp Osaka 2018にて。架空のWordPressサイト制作案件の詳細な見積とともに、日頃、私が何を考えて見積を組み立てているのかをご紹介しました。
WordPress 4.7.1 の権限昇格脆弱性について検証した
エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。 本稿では、脆弱性混入の原因について報告する。 はじめに WordPress本体に久しぶりに重大な脆弱性が見つかったと発表されました。 こんな風に書くと、WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。そういうクラスのものが久しぶりに見つかったということですね。 WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り Make WordPress Core Conten
「WordPress 4.2.3」公開、XSSの脆弱性を修正
XSSの脆弱性を悪用された場合、「投稿者」「寄稿者」の権限を持つユーザーがWebサイトを制御できてしまう恐れがある。 WordPressの脆弱性を修正した更新版の「WordPress 4.2.3」が7月23日付でリリースされた。セキュリティチームはユーザーに対し、直ちにWebサイトをアップデートするよう強く勧告している。 今回の更新版ではWordPress 4.2.2までのバージョンに存在するクロスサイトスクリプティング(XSS)の脆弱性が修正された。悪用された場合、「投稿者」「寄稿者」の権限を持つユーザーがWebサイトを制御できてしまう恐れがある。 また、「購読者」の権限を持つユーザーが「クイックドラフト」機能を使ってドラフトを作成できてしまう問題にも対処した。他にも20件の不具合などが修正されている。 WordPressの更新版はダッシュボードから入手できる。自動バックグラウンド更新を
WordPress の安全性を高める - WordPress Codex 日本語版
WordPress ではセキュリティを非常に重要なものと考えています。しかし、他のどんなシステムでも同様ですが、基本的なセキュリティ対策がなされていない場合には問題が発生する可能性はあります。このページでは、よくある脆弱性について、そして WordPress を安全に保つためにできることを紹介します。 このページはセキュリティに対する心配を一掃するその場限りの応急措置とは違います。特定のセキュリティ問題や不明な点を抱えている場合は、コンピューターセキュリティの知識を十分に持っている信頼のおける人ときちんと話し合うべきです。 セキュリティとは 基本的には、セキュリティとは「完璧に安全なシステム」のことではありません。そのようなものは実用的ではないか、見つけたり運用したりするのは不可能といえるでしょう。セキュアなサーバーは、サーバー管理者のコントロールのもとに、リソースのプライバシー・整合性・
WordPressのXML-RPCの設定見直し
これで防げると思ってたんだけど 実際 pingback.ping は呼び出せた。WordPressのソースを確認したら xmlrpc_enabled フィルタでチェックしているのは認証が必要なパターンのときだった。pingback.pingは防げない・・・ というわけでPinbackを無効にするにはやっぱりxmlrpc_methodsフィルタを使うのが良い。 if ( function_exists( 'add_filter' ) ) { add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' ); } function remove_xmlrpc_pingback_ping($methods) { unset($methods['pingback.ping']); return $methods; } しかしながら xmlr
wordpressのxmlrpc.phpに対するブルートフォースアタックを防ぐ | ものづくりエクスペリメント
いつも通り自分のサイトにアクセスしようとしたら、できませんでした。 調べた結果、 wordpressのxmlrpc.phpに対してブルートフォースアタックを仕掛けられて、 サーバーのメモリを全部消費して、動けなくなっていました。 ネットで調べてみるとここ半年くらいの間に発生しているクラック攻撃らしいです。 今までだとサーバーを再起動させれば、 クラック攻撃も収まり、普通に動くようになったんですが、 今回の攻撃野郎は、サーバーを再起動させた後もしつこく攻撃を続けてきました。 ということで本格的に対策を取る事にしました。 Apacheのアクセスログ 80.82.78.166 - - [07/Oct/2014:13:51:22 +0900] "POST /xmlrpc.php HTTP/1.0" 200 698 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Wi
WordPressでしっかり設定しておきたいセキュリティやメンテナンスに役立つ.htaccessのまとめ
WordPressでブログやサイトを運営する前、そして運営している時にしっかり設定しておきたいWordPressのセキュリティやメンテナンスに役立つ.htaccessの設定を紹介します。 .htaccessファイルを守る 最初に行うことは、.htaccessをあなた以外の無許可のアクセスから守ることです。下記のスニペットは第三者があなたの.htaccessファイルにアクセスするのを阻止します。 ルートの「.htaccess」に下記を記述します。 <files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files> wp-config.phpファイルを守る WordPressでもう一つ重要なファイルがあります、それはwp-config.phpです。
Nginx + WordPress ロードバランサー篇 - サーバーワークスエンジニアブログ
こんにちは。CSチームの坂本です。 今回はNginxをロードバランサーとして利用して負荷分散を行うことでWordpressを高速化したいと思います。 いままでの記事 Nginx + WordPress Nginx + WordPress 「Gzip Precompression」モジュール篇 Nginx + WordPress proxy cache篇 ※EC2の環境、Nginx以外のMySQL、PHP、PHP-FPMの設定などはいままでと同様です。 目次 今回の構成ロードバランサーの設定設定ファイル/ロードバランサー(default.conf)設定ファイル/Webサーバー(default.conf)比較 1. 今回の構成 今回の構成は以下の図のようなイメージです。 フロントエンドにNginxをロードバランサーとして置いて、バックエンドに3台のWebサーバーを置いています。 2. ロードバ
「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在
セキュリティ企業によれば、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在する。 WordPressは4月27日、コンテンツ管理システム(CMS)最新版の「WordPress 4.2.1」を公開し、深刻な脆弱性に対処したことを明らかにした。脆弱性はこれまでの全バージョンに存在するといい、ユーザーに対して自分のWebサイトを直ちにアップデートするよう強く勧告している。 これに先立ちフィンランドのセキュリティ企業Klikkiは4月26日に公開したアドバイザリーで、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在することを確認したと伝えていた。 Klikkiによれば、この問題を悪用された場合、認証を受けない攻撃者がWordPressの
【セキュリティ ニュース】「WPTouch」など多数のWordPressプラグインに脆弱性(1ページ目 / 全1ページ):Security NEXT
WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。 米Sucuriによると、問題の脆弱性は、4月13日の週に判明したもので、関数「add_query_arg()」「remove_query_arg()」の使用方法に起因。公式ドキュメントにある記載が不明確で、多くのプラグイン開発者が安全ではない方法で関数を用いていると同社は指摘している。 実際に影響を受けたプラグインを見ると、「WordPress SEO」「Google Analytics by Yoast」「All In one SEO」などSEO機能を提供するプラグインのほか、スマートフォン向けのインタフェースを提供する「WPTouch」、リンクのチェック機能を
無料で使えるWordPressテーマ「Simplicity」が良い。
このブログはWordpressを使っているのですが、その中でSimplicityというテーマを使用しています。 ブログを開始するにあたって、自分で作ろうか有名どころのテーマをカスタマイズしようかどうしようかと迷っていたところ、調度良いタイミングで、フォロワーのわいひら(@MrYhira)さんという方がテーマを公開されていたので、「これはなかなかよさそう」だと思い、 ちなみに、わいひら(@MrYhira)さんは、頸髄損傷でほぼ寝たきりの生活をしつつ、寝ログというライフハック系ブログを運営されたり、テーマを公開したり、フリーソフトを公開していたりと、パワフルな方です。 ここからはSimplicityを簡単に紹介します。 Simplicityには主に、以下の7つの特徴があります。 シンプル 内部SEOの最適化 拡散のための仕掛けが施されている 端末に合わせた4つのレスポンシブスタイル 手軽に収益
Web制作フローが「完璧」にわかる資料や流れのまとめ | コムテブログ
TL;DR 受注前、制作フロー、安定収益源の保守方法まで「作って終わりにしない」Web 制作の一連の流れを記載しておきます。社内だけじゃなく、これから独立する人、フリーランスの方も必見です。 オリエンテーション/受注前 1.書類テンプレート一式 オリエンテーションにおけるヒアリングでは、後に作成する提案・見積書に必要となる質問を用意しておきます。自社の説明をする時は、せっかちなクライアントさんもいるので、だらだら話さず、ポイントを抑えてわかりやすく説明します。ヒアリングした後は、議事録にメモし社内共有。必要な書類(ヒアリングシート/企画書/提案書/業務委託書/見積書/契約書)など一式まとめてますので、書類系のテンプレートは以下で。 企画・提案・見積・納品・契約などのテンプレ・知識まとめ23 2.見積もりの目安と計算方法 例えば項目を作るとき1.項目/2.内容/3.設計(人日)/4.製造(人
WordPressキャッシュ系プラグインの比較とサイトに適した選び方 | ゆっくりと…
WordPress の運営を始めて1年後にしてようやく(満を持して!)、キャッシュ・プラグインを使い始めています。とは言っても、最初は 「アレが速い」 とか 「コレが良い」 などといった記事に目移りして、何をどう使えばよく分かりませんでしたが、ここらで私が理解出来ていることをまとめてみたいと思います。 下図は、サイト閲覧者 ~ WordPress 間の主要なキャッシュ機構とそれをサポートするプラグインの関連です。サーバーのファイルシステムや、メモリ/ハードディスクなどの I/O レベルのキャッシュなどは割愛します。 図を見れば分かる通り、W3 Total Cache がその名の通り全てのキャッシュをカバーしています。さらにメモリ・キャッシュ、CDN へのアップロード機能、各種 PHP アクセラレータ (ACP、eAccelerator、XCache)、HTTP アクセラレータ (Varni
WordPressチューニング、その前に使うDebug Bar | さくらのナレッジ
WordPressは非常にポピュラーなソフトウェアです。非常に多くのサイトで使われており、この「さくらのナレッジ」もWordPressをベースに作られています。 WordPressはPHPのコードとApache等のWebサーバ、mySQL等のDBサーバで構成されています。インストールは比較的簡単ですぐに始められるのですが、WordPress自体が大きなプログラムであるのに加え、多数のプラグインやテーマが流通しているため、どんどん機能を追加するうちにサイトが重くなっていき、見るに堪えないページができあがってしまうこともしばしばです。そのためか、WordPressのチューニング方法を取り上げた記事はとても多く、どれも人気があります。ただ、それらの記事で紹介されている手法が、本当に自分のサイトを速くしてくれるのだろうかと、疑問に思ったことはないでしょうか。チューニングの基本はまず測定です。そこで
デザインどや!?|海外カジノ オンラインのWEB作成
Webページレイアウト、ナビゲーションプラグイン、フォーム、スライダー&カルーセルプラグイン、チャート&グラフプラグイン、イメージエフェクトプラグイン、ビデオプラグインなど。チェックしておきたいです。海外カジノ オンラインサイトの制作はワードプレスのプラグインを利用して様々な機能を付け加えて完成させることができます。2012年のjQueryプラグインまとめでは、デザインの一新や個別のカスタムにも対応した国際的で魅力的なサイト作成に役立つ情報を紹介しています。
WordPress 3.x マルチサイト機能有効化の作業メモ
Webサイト構築にはずっとMovableTypeを使っていたのですが、WordPress 3.0からマルチサイト(というか複数ブログ)が使えるようになったとの事で、いくつかの案件はWordPressで組むようになりました。 マルチサイト化は何度かやったのですがいつも手順とか忘れちゃうので備忘録として自分なりに作業メモを残しておこうと思います。 WordPressマルチサイト機能使用の注意点 WordPressのマルチサイト化そのものはそんなに難しくありませんが、いくつか注意点があります。 WordPress専用ディレクトリには設置できない。 WordPress本体はWebサーバーの最上位ディレクトリに設置する。 仮サーバーからのドメイン変更などわりとメンドクサイ。 専用ディレクトリに設置したWordPressを最上位ディレクトリに移動させる作業もやってみたのですが、できそうな気がするのです
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WordPress移行時にURLをSQLで直接一括置換はダメ! 「Search and Replace for WordPress Databases Script」を使おう | infoScoop開発者ブログ
「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在 (ITmedia エンタープライズ) - Yahoo!ニュース
http://www.wpxaf.com/security-wp/
WordPressのログイン・管理画面にBasic認証をかけるプラグイン「WP Admin Basic Auth」を作りました
