「ノウハウ」記事一覧
超軽量WAF Raptor WAFのご紹介
2017/08/29
2019/12/23
軽量で簡単に設定できそうなWAF(Web application Firewall)を探していたところ「Raptor WAF」と言うソフトを見つけた。仕組み的にはリバースプロキシーを使ってインジェクション対策やらCSRF対策、マッチリスト、BLACKリストでブロックしてくれる。様々なフレームワークを使用していると、おおよそ自前WEBサーバがついてくる。テスト用のWEBサーバなので完全に内部でやるな...
WORDPRESS nav-menu.phpが書き換えられるケース
2017/08/24
2019/12/23
このnav-menu.phpを書き換える攻撃は国内では昨年くらいから多く報告されIPAにも多数報告があるものです。私自身も幾つかのお客様で確認したことがある攻撃です。この攻撃コードは幾つものパターンがあり、例えばフォーム処理の内容を攻撃者へ転送したり、直接サイトをブックマークでアクセスする分には、正常に思った通りのサイトへアクセスできるのですがグーグルやヤフーの検索エンジンからクリックして飛ぶと全...
サイトの不正送信をブロックするGoogleの「reCaptcha」
2017/05/23
2019/12/23
皆様のサイトでお問い合わせやコンタクトフォームを設置してる方非常に多いと思います。WORDPRESSなんかだと「contact form7」というコンタクトフォームを生成するプラグインがあり私も愛用しています。でも大体、不正送信してくる輩がいてたまに集中攻撃してきます。そこで一般的にはCaptcha「きゃぷっちゃ」を使用して読みにくい画像文字を表示して、それを入力させたり、足し算、引き算させたりす...
口コミ投稿(レビュー)の注意点
2017/05/21
2023/02/15
メジャーな口コミ投稿として、AmazonやGoogleマイビジネスが有名ですが、やはりこのサービスの効果は大きいため逆にインチキレビューが多いのも事実。少しなら拍車をかける意味でありですが、ついついやりすぎてしまうケースが多い。一番多いよくある失敗例をひとつご紹介する。例えば、社内のスタッフ10人に口コミレビュー投稿を依頼する。さて、その結果は当初30分くらいは、レビューが表示されAmazonやG...
SEO重複編:意外な落とし穴
2017/05/17
2020/01/07
WEBサーバのURLを処理する挙動には伝統的な省略がある。パス名「/」は「index.html」や「index.xxx」をデフォルトで読み込むわけだが、これも実は今のGoogleの重複検出フィルターの中では気を付けないといけない。サイトの中に含むページの中には、リンクが「/」と「index.html」二つ存在しているような場合、Google側がどうも必ずしも適切な処理をしていない場合があります。ま...