サイトの脆弱性を定期的にスキャンするサービスの選び方
あのさ、WordPressでサイト運営してるとさ、「脆弱性スキャンって、どのサービスを選べばいいの?」って、マジで悩むよね。これ、実際に僕も経験したことがあるんだけど、最初は「無料でいいや」って思ってたんだよ。でもさ、実際に使ってみたら、「 ...
脆弱なプラグインを狙った自動化された攻撃ボットの動き
あのさ、WordPressのプラグインって便利だよね。で、これ、実際にあった話なんだけど、友人が運営してる小さなブログサイトが、ある日突然、変なページにリダイレクトされるようになったんだよ。で、調べてみたら、使ってたプラグインの脆弱性を突か ...
WordPressのテーマファイルを狙った悪質なコードの埋め込み
あれは確か、去年の夏だったかな。クライアントから「サイトが変なページにリダイレクトされる」って連絡が来たんだよね。で、最初は「また広告プラグインの設定ミスかな」って軽く考えてたんだけど、調べてみたら、もう驚いた。テーマファイルに、見たことも ...
脆弱なプラグインを狙った自動化された攻撃ボットの動き
あれは確か、2年くらい前だったかな。いや、もしかしたら3年前かもしれない。まあ、そのへんはどうでもいいんだけど、クライアントのWordPressサイトが突然おかしくなったんだよね。朝、メールを開いたら「サイトが重い」って連絡が来てて、で、ロ ...
XML-RPCを無効化した場合の代替手段としてのWordPress REST APIの活用
スマホアプリが突然使えなくなって、マジで焦った話 結論から言っちゃうと、XML-RPCを無効化しても、REST APIがあれば全然問題ない。っていうか、むしろセキュリティが上がるし、開発の自由度も増すから、無効化した方がいいと僕は思ってる。 ...
脆弱なプラグインを狙った自動化された攻撃ボットの動き
どうも、都内でPHPエンジニアをやっている者です。かれこれ20年以上、この業界で飯を食っていますが、ここ数年のサイバー攻撃の進化には、正直言って舌を巻くばかりです。特に、WordPressサイトを狙った「自動化された攻撃ボット」の動きは、も ...
ログイン画面にreCAPTCHAを導入してボットからの攻撃を防ぐ方法
「私はロボットではありません」は、ただのチェックボックスじゃない。reCAPTCHAでログイン画面を鉄壁にする方法 「またか…」 月曜の朝、コーヒーを淹れながら、いつものようにサイトの監視ログに目を通す。そこには、見慣れた、しかし決して慣れ ...
Jetpack Scanによる脆弱性診断の活用法
「あれ、サイトが表示されない…?」 深夜2時。クライアントからの一本の電話で、僕の心臓は嫌な音を立てて跳ね上がった。フリーランスのWebデザイナーとして独立して3年目、一番聞きたくない言葉だった。 慌ててPCを立ち上げ、問題のサイトにアクセ ...
All In One WP Security & Firewallの使い方
「WordPressのセキュリティ対策、何から手をつけていいか分からない…」「SiteGuardを入れているけど、本当にこれで十分なのかな?」 Webサイトを運営していると、そんな不安がよぎる瞬間、ありませんか?専門的で難しそうなイメージの ...