Uncaught Error: Call to undefined function get_user_attribute() で困っている方向けの情報です。以下の様なエラーでWordpressのJetPackの管理ページなどが使えなくなります。 [Mon Dec 05 10:05:51.204342 2016] [php7:error] [pid 1928…

このブログで利用しているセキュリティ関係のプラグインを紹介します。こういう情報はあまり公開しない方が良いのですが、本気の攻撃者の場合はプラグインファイルの存在を総当たりで検出すれば判ってしまいます。 (さらに…)

このブログのURLをhttpからhttpsに変更しました。これにより、幾つかの情報1が参照できなくなるので記載しておきます。 Facebookのコメント FacebookのLikeやブックマークなど共有 ブログをWordPressに移行してから設定されたURLは自動的にhttpsにリダイレクトされます。 このブログでは移行前に「仕方ないので諦める」ことにした…

リバースプロキシ環境で結構ハマったのでブログにします。結論から書くと、WordPressのドキュメントに Note: FORCE_SSL_ADMIN should be set before wp-settings.php is required. wp-settings.phpを読み込む前にFORCE_SSL_ADMINは定義しなければならない、と書いてあ…

このブログでは二段階認証にGoogle認証システム（スマホアプリ）とGoogle Authenticator（WordPressプラグイン）を使っています。携帯の修理でGoogle認証アプリを入れ忘れていたので、またブログにアクセスできなくなりました。前回はデータベースを直接操作してGoogle Authenticatorプラグインを無効にしたのですが、もっ…

このブログもWordpressです。パスワードの辞書攻撃、ブルートフォース攻撃を思われるアクセスが大量にあります。Wordpressへの2要素認証導入はプラグインのインストールだけでできます。 開発者向けの2要素認証導入もブログに書いています。開発者の方は早めに自分のサイト／サービスに2要素認証を導入することをお勧めします。

Google、Facebook、Amazon(AWS)、Githubなど、大手Webサービス会社が2要素認証を取り入れてしばらく経っています。自分のWebサイトでも2要素認証を導入したい！と思ったことは無いですか？ 簡単に可能です！ パスワード認証だけではもう安全とは言えません。ぜひ2要素認証を自分のサービス／プロダクトに導入してください。

今時、ファイルアップロードに脆弱なのは珍しいので Wordpress MailPoet (wysija-newsletters) Unauthenticated file Upload として知られている脆弱性を調べてみました。

Full Disclosureに以下のようなメールが投稿されていました。 Day of bugs in WordPress3が始まるようです。

個人的には影響ないですがいろいろなアプリケーションで使われているPHPMailerと言うクラスにコマンドインジェクションの脆弱性があったようです。リンク先を見ればescapeshellarg()かescapeshellcmd()でエスケープすべき個所がエスケープされていない事が分かります。 どの位危険か?と言うと簡単にサーバを乗っ取られる（不正なプロセスを実…