「テクニカル」記事一覧
Apacheログからセキュリティアタックの解析をする。
2017/09/08
2019/11/04
ApacheのWEBログから攻撃の手法を読み取るツールをご紹介したいと思います。ツールの言語はPython2.x系で記述されていますが、少し手を入れてpyhon3.xで動作するパッチを作ってみました。2.x系と動作比較した感じは動作良好のようです。コードGoogleで登録されているapacheログのセキュリティ解析ツール(scalp)https://code.google.com/archive/...
Apacheの未定義ドメインリクエストURLの落とし穴を埋める
2017/09/05 2019/12/23
Apacheサーバを運営してありがちな失敗ネタをひとつ。専用サーバを借りてサーバ運営しているとVirtual Hostsに意識が行き過ぎて自分で Virtual 側で定義したドメインしかリクエストが来ないと思ってしまう。でも実際はそうではありません。IPアドレスでURLを入力したり、定義していないVirtualドメインでURLを入力されたら全く想定していないコンテンツが表示されることがよく有ります...
サイトの不正送信をブロックするGoogleの「reCaptcha」
2017/05/23
2019/12/23
皆様のサイトでお問い合わせやコンタクトフォームを設置してる方非常に多いと思います。WORDPRESSなんかだと「contact form7」というコンタクトフォームを生成するプラグインがあり私も愛用しています。でも大体、不正送信してくる輩がいてたまに集中攻撃してきます。そこで一般的にはCaptcha「きゃぷっちゃ」を使用して読みにくい画像文字を表示して、それを入力させたり、足し算、引き算させたりす...
WORDPRESSで度々攻撃されるファイル
2017/05/19 2019/12/23
WORDPRESSで度々攻撃されるファイルについて一覧化しました。wp-login.phpadmin-ajax.phpwp-config.phpxlmrpc.phpwp-blog-header.phpnav-menu.phpwp-cron.php...
WORDPRESSセキュリティ その1
2017/05/07 2017/05/19
WORDPRESSは有名で無料でオープンソースだから、何かとクラッカーの研究対象となりセキュリティ面では他のCMSよりも厳しい評価が下されることがあります。但し、一般的には以下の処置をするとかなり安全になりますので、是非お試しください。WORDPRESSのセキュリティ対策xlmrpc.phpの停止 or 外部から触れないようにするwp-admin or wp-login.php を自分以外に触れな...