皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた件に関しては『経済産業省』からも注意喚起が出ておりますので、今日はそれについてお伝えします。

EC-CUBE2系でクレカ情報流出被害増加

『EC-CUBE』の中でも『EC-CUBE2系』において特に発ししている事象として、セキュリティ対策などが十分に行われていないECサイトにおいて改ざんがされ、攻撃を受ける可能性があるとされています。

・正しいインストール環境設定

・EC-CUBEの既知の脆弱性修正対策

・利用しているサーバーのセキュリティ対策

・ECサイトの管理画面のセキュリティ対策

・同じ環境に設置されている他のCMSのセキュリティ対策

これらが十分に行われているかが重要であるとしています。

具体的な確認と対策方法に関しては、

・/data ディレクトリや /install などのディレクトリが運用環境で公開されてしまっていないかを確認し、公開されてしまっている場合には /install の削除、 /data ディレクトリへのアクセス制限を行う。

・過去にEC-CUBEより発表された脆弱性が修正されていない場合は修正を行う。

・管理画面のURLが /admin/ など推測されやすいURLになっている場合、それを推測されにくいものに修正する。

・IP制限やBasic認証をかけるなどし、管理画面へのアクセス制限行う。

・利用しているサーバー、CMSなどのセキュリティが担保されているかや、そのサーバーのOSやミドルウェアの脆弱性対応がされているかを確認する。

・WordPressなどのCMSなどにおいてデータベース接続を行うアプリケーションをインストールしている場合、アプリケーションのプラグインの脆弱性対応がされているかを確認する。

これらの確認が必要になってきます。

また、自社内での確認、対策などが困難な場合はインテグレートパートナーに相談するなどして対応するよう呼び掛けています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先週『WordPress5.3.1リリース情報』の記事を投稿しましたが、それに続き『WordPress 5.3.2』が2週連続でリリースされました。

今日はそれをお伝えします。

WordPress 5.3.2 メンテナスリリース

前回の『WordPress 5.3.1』のリリース直後、いくつかの重要度の高いチケットが上がったため『WordPress 5.3.2』がクイックメンテナンスとしてリリースされました。

今回のリリースで対処された問題は以下の通りとなります。

・日付/時刻：get_feed_build_date（）が無効な日付の変更された投稿オブジェクトを正しく処理する変更。

・アップロード：大文字と小文字を区別しないファイルシステムで大文字の拡張子を持つファイルをアップロードするときのwp_unique_filename（）でのファイル名の衝突を修正。

・メディア：宛先ディレクトリが読み取れない場合のwp_unique_filename（）のPHP警告を修正。

・管理：.activeクラスを持つボタンのすべての配色の色を修正します。

・テスト/ビルドツール：wp_insert_post（）で、投稿日をチェックして将来のステータスまたは公開ステータスを設定するときに、適切なデルタ比較を使用する変更。

以上のようにWordPressの公式サイトには投稿されています。

前回に続きマイナーアップデートですから、そのままアップデート更新で良いでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、WordPressの更新版であるWordPress4.9.7が公開されました。

今日はそのニュースをお伝えします。

WordPress3.7以降のすべてに向けたリリース

WordPressのブログニュースを見ると、今回のリリースもWordPress3.7以降のすべてのバージョンのセキュリティ及びメンテナンスリリースで、直ぐにWordPressをアップデートをすることが強く推奨されています。

また、WordPress4.9.6以前では、特定の権限を持つユーザーがuploadsディレクトリ外のファイルを削除しようとするメディアの問題の影響を受ける可能性があるともされています。

これ以外にも、

・用語クエリのキャッシュ処理の改善

・ログアウト時の投稿パスワードのCookieのクリア・

・ウィジェット管理画面のサイドバー説明に基本的なHTMLタグを許可する

など、17のバグ（不具合）修正も行われています。

いつもながら、マイナーアップデートが自動更新になっている場合はそのまま自動的に更新がなされます。

ただし、以前にもご紹介した通り、『WordPress4.9.3』において自動バックグラウンド更新をサポートするサイトが自動的に更新されないというバグ（不具合）があったため、手動で4.9.4以降にアップデートされていない場合は自動更新されることはないと思われますので、念のため管理画面で確認をしておくことをお勧めします。

マイナーアップデートも自動更新を『オフ』にしている場合は早めにアップデートされることがお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先日の記事では、パーミッションをできるだけ安全なものに設定しておくべきであることをお話ししましたが、今日は、それを一括して簡単に設定変更する方法をご紹介します。

パーミッションを一括設定変更する

パーミッションを設定する際、階層ごとにディレクトリやファイルを別々にパーミッション指定したりするのは非常に時間と手間がかかったりします。

そこで、コマンドを使って一括で設定変更する方法をご紹介します。

例えば、exampleディレクトリの中のディレクトリのパーミッションをすべて705（rwx—r-x）に変更したい場合、

find ./example/ -type d -exec chmod 705 {} \;

同ディレクトリ内のファイルのパーミッションをすべて604（rw—-r–）に変更したい場合、

find ./example/ -type f -exec chmod 604 {} \;

これで一括して設定を変更することができます。

また、拡張子を指定したパーミッション変更を行いたい場合は（.phpを604にしたい時の例として）、

find ./example/ -name \*.php -exec chmod 604 {} \;

これで.phpの拡張子がついたファイルのみが一括で設定変更されます。

ちなみに、一部のFTPソフトにおいては同様のことを行うことができますので、FTPソフトを使って行うという方法もあります。

ご参考までに。

注：パーミッションを間違ったものに設定してしまうと正常に動作しなくなりますので、くれぐれも慎重に行ってください。

パーミッションとは、ファイルやディレクトリごとに対する読み取り、書き込み、実行に対するアクセス許可情報のことを言います。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ウェブサイトを管理している方、特にWordPressで構築されたウェブサイトの管理者なら『パーミッション』という言葉を聞いたことがあるかと思います。

これは、ファイルやディレクトリごとに対するアクセス権になりますので、設定次第では危険にさらされた状態であったりします。

では、どのように設定しておくのが良いのでしょうか？

パーミッションとは

まず、パーミッションは3つのユーザーと3つの権限の組み合わせになります。

ユーザーには、

１．所有者（ファイル・ディレクトリのオーナー）

２．所有者と同じグループ（同一サーバーを利用できるユーザー）

３．その他のユーザー（その他の第三者）

があり、権限としては、

１．読み取り権限（読んで良いか？）：r

２．書き込み権限（書いて良いか？）：w

３．実行する権限（動かして良いか？）：x

があります。

これらをすべて並べると、rwxrwxrwx（777）となります。

パーミッションの設定

一般的なパーミッションの設定としては、

１．htmlファイルや画像ファイル：644（rw-r–r–）

２．ディレクトリ：755（rwxr-xr-x）

３．cgi実行ファイル：755（rwxr-xr-x）

４．cgiやJavaScriptのライブラリ：644（rw-r–r–）

といった感じに設定したりしますが、

１の場合、所有者であるオーナーは読むことも書くことも可能で、所有者と同じグループとその他の第三者は読むことだけの権限という設定になります。

また、３の場合はプログラムを動かす必要性があるため、すべてのユーザーに実行する権限が付与されています。

ただし、多くの事業者は共用のレンタルサーバーを使ってウェブサイトを公開していることが多いため、所有者と同じグループの権限を付与してしまうと、共用サーバー内の他者が操作をできてしまうことになってしまいます。

そのため、所有者と同じグループの部分は権限を付与しない方が良いです。

従って、644（rw-r–r–）であれば604（rw—r–）、755（rwxr-xr-x）であれば705（rwx—r-x）としておく方がお勧めです。

また、WordPressを使っている場合においては『wp-config.php』というファイルがありますが、これは所有者だけが読み込むことができる400（r——–）としておくことが最も安全な設定となります。

（共用サーバーで400が設定できない場合は600（rw——-）がお勧めです。）