分析 – 業務改善コンサルティング情報ブログ https://www.trilogyforce.com/blog 業務改善で収益改善! Mon, 17 Jun 2024 01:21:12 +0900 ja hourly 1 https://wordpress.org/?v=6.9.1 WordPressへの攻撃で最多は https://www.trilogyforce.com/blog/the-most-number-of-attacks-against-wordpress/ https://www.trilogyforce.com/blog/the-most-number-of-attacks-against-wordpress/#respond Mon, 26 Feb 2018 12:41:00 +0900 https://www.trilogyforce.com/blog/?p=5544 先日、ある情報セキュリティ関連の会社がラボを開設したことを発表しました。

そのラボにおける活動の第一弾として、『日本国内におけるWordPressセキュリティの現状』の分析レポートが公開されています。

WordPressへの攻撃

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたラボが公開した分析レポートにおいて、WordPressへの攻撃(検出箇所)として以下のものが最多として書かれていましたのでご紹介します。

WordPressへの攻撃で最多のものとは

WordPressへの攻撃(検出箇所)で検出が最も多かったものは、『xmlrpc.php』というものです。

『XML-RPC』というのは、遠隔での呼出しを行うプロトコルの一種で、WordPressで言えば、通常の管理画面以外からの投稿を可能にするものです。

WordPressの場合、スマホアプリなどのXML-RPCを使った更新にも対応しているため、xmlrpc.phpというファイルが用意されています。

これが使用可能になっているとどうなるのか?

xmlrpc.phpをターゲットとしたDDoS攻撃などの被害に遭う可能性があり、それを受けた際にはサーバが高負荷状態でパンクしてしまうことにもなります。

つまり、アクセスできない状態にされてしまう恐れがあるということです。

では、これを避けるための対策法はどのようにすれば良いのか?

xmlrpc.phpファイルへの攻撃の対処法

WordPress3.5未満においては管理画面の投稿設定にxmlrpcを無効にするチェックボックスがあったのですが、WordPress3.5以降のバージョンではそれがなく(現在の最新は4.9.4)、デフォルトで有効な状態にあります。

その場合、一番簡単な方法は『.htaccess』でxmlrpc.phpへのアクセスを禁止してしまう方法です。

<Files xmlrpc.php>

Order allow,deny
Deny from all
</files>

と、記述を追加すればOKです。

どうしても特定のIPアドレスからのみ許可をしたい場合、

<Files xmlrpc.php>

Order allow,deny
Deny from all
Allow from xxx.xxx.xxx.xxx
</files>

と、赤字の部分を加えればOKです。

これ以外に、多少サーバへの負荷が残るものを考慮したいのであれば以下の方法が良いです。

<IfModule mod_rewrite.c>

RewriteEngine On
RewriteBase /
RewriteRule ^xmlrpc\.php$ “http\:\/\/0\.0\.0\.0\/” [R=301,L]
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

というように、WordPressで.htaccessに設定される記述に赤字の部分を追加し、xmlrpc.phpへのアクセスを0.0.0.0にリダイレクトさせてしまう方法もあります。

ちなみに、プラグインを使って無効化する方法もありますが、プラグインそのものに脆弱性が見つかることもあるためお勧めではありません。

]]> https://www.trilogyforce.com/blog/the-most-number-of-attacks-against-wordpress/feed/ 0 ウェブに懐疑的な人も再考する https://www.trilogyforce.com/blog/also-rethink-human-skeptical-to-the-web/ https://www.trilogyforce.com/blog/also-rethink-human-skeptical-to-the-web/#respond Tue, 26 Jul 2016 11:49:08 +0900 https://www.trilogyforce.com/blog/?p=2823 『ウェブ(ホームページ)を制作して公開したところで何もメリットはない!』と、ウェブに対して懐疑的な人はまだまだおられますが、そういった方は損をすることもあり得ます。

考える

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

昔ながらのアナログな手法でクライアントを獲得してきた人にとっては、ウェブ(ホームページ)というものに対して非常に懐疑的な考えをもっているケースがまだまだあります。

しかし、これだけインターネットが普及した現代においてこの考え方は非常に損失かもしれません。

ウェブは捨てられることがない

パンフレットやチラシなどの紙媒体、配布するにも一苦労する上にヒット率が非常に悪い場合があります。

また、配布しても行き着く先はゴミ箱の中であったりすることも結構多い。

しかし、インターネットブラウザーにて閲覧できるウェブ(ホームページ)はゴミ箱に捨てられることはありません。

そして、紙媒体で配布する以上の不特定多数の人に閲覧してもらえる可能性を秘めており、やり方次第では紙媒体よりも効率良く集客することも可能です。

一度失敗してもあきらめない

非常に多いケースは、一度は興味をもってチャレンジしたものの、結果的には何の効果もなかったことであきらめてしまっているケースです。

こういったケースの場合、正直申し上げてやり方が間違っていたものが大半で、何が間違っていたのか、何が不足していたのかも分析もせずにあきらめてしまっていることが多いのが実情です。

ウェブ(ホームページ)を公開したからといって直ぐに見込み客が訪れるわけではありません。

それなりに見てもらえるポジションにくるまで数ヵ月はかかりますので、結果が直ぐに伴わないことを焦ってはいけません。

まずは私どものような専門家と一緒に結果が伴わなかった時の問題点を分析し、それを改善した状態にてリスタートさせることを検討されることをお勧めします。

是非再チャレンジしてみてください。

]]> https://www.trilogyforce.com/blog/also-rethink-human-skeptical-to-the-web/feed/ 0