ハニーポッターの部屋 このページをアンテナに追加 RSSフィード Twitter

QLOOKアクセス解析

2016-09-30 VMwareからVirtualBoxへの仮想マシンの移行

VMwareからVirtualBoxへの仮想マシンの移行法法

セキュリティ・キャンプ九州、セキュリティ・ミニキャンプ中国(広島)が無事に終わって、皆さん、お疲れ様でした。

今回は、Virtualboxのトラブルに始まって、そのトラブルで終わったという感じなので、後進のためにメモを残しておく。

過去にVMware Playerが無償で便利だったこともあって、多くのかたがVMware形式の仮想マシンをお持ちだと思います。

しかしながら、VMware Playerの非商用利用の厳格化で、コンプライアンス的に個人利用以外の利用を避けた方が良い状況なので、VMware Playerの仮想マシンVirtualBox仮想マシンへの移行の手順をまとめておこうと思います。

単なるコンバートは、VMware Playerのovftoolでovf化すれば良いようです。Macならツールにパスが設定されていますがWindowsはパスが通ってないので、フルパスを書いてコマンド実行する必要があります。コンバートには10数分から数十分かかります。参考にしたサイトは以下です。

[VM] VMWAREのイメージをVIRTUALBOXで読み込むには(OVF経由での読み込み)

http://april.fool.jp/blogs/2013/08/vm-vmware%E3%81%AE%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8%E3%82%92virtualbox%E3%81%A7%E8%AA%AD%E3%81%BF%E8%BE%BC%E3%82%80%E3%81%AB%E3%81%AF/

  • ovfファイルの正規化

VMwre Playerのovftoolで作成したovfファイルは、VirtualBoxと相性がよくありません。正常に起動すればよいですが、うまくいかないときはどはまりになります。インポートには成功しますが、実際に仮想マシンの起動時にカーネルパニックや、HDDの起動エラーに今回は悩まされました。

VMwre Playerのovftoolで作成したovfファイルは、Virtualboxで正常にインポート後、再度、Virtualboxでエクスポートしてovfファイル化したほうが、Virtualboxのバギーさを吸収してくれるようです。ただ、ovfファイルのインポートには時間が掛かるし、Virutalboxの仮想マシンのvboxファイルをそのまま起動したほうが手間はかからないのですが、このvboxファイルがトラブルの元です。

VMware Playerが仮想マシンの実行がかなりアバウトで、Windows、Mac、OSが変わっても、バージョンが変わっても、ちゃんと仮想マシンを起動してくれるていたのですが、Virtualboxはかなりバギーです。VMware PlayerのVMXファイルが、可読性に優れた設定ファイルであったのに対して、VirutalBoxのVBOXファイルはXMLファイルで設定内容がよくわかりません。Dドライブで作った仮想マシンをCドライブの別のマシンで起動しようとするとエラーで上手く動かなくて、VBOXのファイルを手動で書き変えてもうまくいきませんでした。こういう仕様もあるので、WindowsとMacが混在するような演習時には、ovf ファイル化でインポートしたほうがトラブルは少ないと思われます。

ovfファイルをつかわずに移行しようとして、VMwareからVirtualBoxへの仮想マシンの移行に失敗することがあります。その場合、仮想HDDを指定すれば、上手く起動できることが有ります。仮想マシンVirtualBox仮想マシンをタイプ(OS)とバージョンを合わせて作って、その際に「仮想ハードドライブを追加しない」設定で作成する必要があります。その後に仮想マシンイメージをHDDコントローラを合わせて、既存の仮想HDDを指定すれば良いようです。参考のURLを貼っておきます。OWASP BWA (The Broken Web Applications) の移行は、この方法でうまく行ったようです。

VirtualBoxVMWare仮想マシンイメージ(.vmdk)をそのまま読み込ませる方法

http://www.lanches.co.jp/blog/2083

  • Virutalboxで同じ仮想マシンをコピーして起動したらUUIDが重複していると言われた場合

Virutalboxで同じ仮想マシンをコピーして起動したらUUIDが重複しているといわて起動できない場合があります。その場合は、下記のURLを参考にUUIDを指定しなおせば仮想マシンのHDDに、UUIDが再度指定されます。しかし、VBOXファイルは、旧UUIDが指定されているので、旧UUIDを新UUIDに置換しても上手く動きませんでした。心機一転、新規仮想マシンを作って「Virutaboxの仮想マシンから直接仮想HDDを指定する場合」の方法を実行してもらえれば上手く起動します。

VirtualBoxVHDをコピーして起動したらエラー!UUID重複を回避する魔法のコマンドとは?

http://jisakupc-technical.info/windows/4513/

皆さんの参考になれば幸いです。

2015-07-09 初心者Webアプリケーション開発者がチェックすべき情報源2015 このエントリーを含むブックマーク このエントリーのブックマークコメント

毎年恒例の「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。

去年に引き続き、最低限のものに絞ってみた。

上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。

必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているものを選択。

書籍としては、徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」、「めんどうくさいWebセキュリティ」と「実践 Fiddler」を掲載したけど,他に良い本があれば情報プリーズ。

この情報もあったほうが良いんじゃね?という情報も大歓迎。

■重点
★Webサイト構築
安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html 
安定の第7版2刷。Web開発の委託先仕様書の代わりにも使える。
セキュリティ実装 チェックリスト(Excel形式、18K)Excel
安全なSQLの呼び出し方(全40ページ、714KB) 
ウェブ健康診断仕様(全30ページ、784KB) 

★発注仕様
OWASP Web システム/Web アプリケーションセキュリティ要件書
https://www.owasp.org/index.php/File:Web_application_security_requirements.pdf
ただし、また上野宣。更新マダー。

★書籍
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
http://www.amazon.co.jp/dp/4797361190/
徳丸 浩 (著) ,価格:¥3,360
電子書籍版は安いし、持ち運べるし、良いと思います。

めんどうくさいWebセキュリティ
http://www.amazon.co.jp/dp/4798128090/
Michal Zalewski (著), 上野 宣 (監修), 新丈 径 (翻訳) 価格:¥ 3,129 

実践 Fiddler
http://www.amazon.co.jp/%E5%AE%9F%E8%B7%B5-Fiddler-Eric-Lawrence/dp/4873116163
Eric Lawrence (著), 日本マイクロソフト株式会社 エバンジェリスト 物江 修 (監訳) (翻訳), 長尾 高弘 (翻訳)
価格:¥ 3,456
とりあえず買っといて損はない。

★脆弱性
OWASP Top 10 2013 (日本語)
https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
Webアプリケーションを作る前に知るべき10の脆弱性


■セキュアWebアプリケーション開発
★IPA セキュア・プログラミング講座
http://www.ipa.go.jp/security/awareness/vendor/programming/index.html 
歴代プログラミング講座と、セミナー資料へのリンク集もあるから、Web開発のセキュリティプログラミングのポータルてして学んでいくとよい。
ただ、IPAさん的には「安全なウェブサイトの作り方」のほうが主力っぽいね。
関連
『セキュア・プログラミング講座(Webアプリケーション編)』ブートアップセミナー資料
http://www.ipa.go.jp/files/000030878.pdf
『セキュア・プログラミング講座(Webアプリケーション編)』マッシュアップセミナー資料
http://www.ipa.go.jp/files/000035950.pdf

★JPCERT:セキュアコーディング
http://www.jpcert.or.jp/securecoding.html
コンテンツてんこ盛り。以下、引用。
セミナー
Android セキュアコーディングセミナー資料(英語版)
Java セキュアコーディングセミナー資料
C/C++ セキュアコーディングセミナー資料
セキュアコーディングスタンダード
CERT C セキュアコーディングスタンダード
Java セキュアコーディングスタンダード CERT/Oracle 版
書籍
C/C++ セキュアコーディング
C/C++ セキュアコーディング 第2版
CERT Cセキュアコーディングスタンダード
Java セキュアコーディングスタンダード CERT/Oracle版
セキュアなソフトウエア開発を支援する資料
Java アプリケーション脆弱性事例解説資料
「Java セキュアコーディング 並行処理編」
OWASP「ソフトウエアセキュリティ保証成熟度モデル」
翔泳社 Codezine 連載集
「動けばいいってもんじゃない」 脆弱性を作り込まないコーディング(全6回)
実例で学ぶ脆弱性対策コーディング(全9回)

HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書
https://www.jpcert.or.jp/research/html5.html
英語版も公開されている

OWASP 蛇とはしご 日本語訳
https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders
ボードゲームを通してOWASP Top 10, OWASP Proactive Controls の価値を啓発するもの。モバイルアプリの開発に役立つ版もある。

「HTML5時代の「新しいセキュリティ・エチケット」」最新記事一覧
http://www.itmedia.co.jp/keywords/html5_sec.html
現在、4記事
・重要! まずは「オリジン」を理解しよう
・単純ではない、最新「クロスサイトスクリプティング」事情
・知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法
・これなら合格! 正しいリダイレクターの作り方

“誤認逮捕”を防ぐWebセキュリティ強化術
http://itpro.nikkeibp.co.jp/article/COLUMN/20130218/456762/
遠隔操作ウイルス事案事例対策
[1]なりすましの攻撃手法 
[2]CSRFとクロスサイトスクリプティング 
[3]HTTPヘッダーインジェクションとクリックジャッキング 
[4]DNSリバインディング 
[5]暗号化の“皮”を重ねて匿名性を確保する「Tor」 

Webアプリケーションにセキュリティホールを作らないための
クロスサイトスクリプティング対策の基本
〜クロスサイトスクリプティング脆弱性とは?〜 
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html 
http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html 
http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html 

Webアプリケーションに潜むセキュリティホール 
http://www.atmarkit.co.jp/ait/kw/webapp_hisomu_securityhall.html
もう、だいぶ古いんだけどね。
第1回 サーバのファイルが丸見え?! 
第2回 顧客データがすべて盗まれる?! 
第3回 気を付けたい貧弱なセッション管理 
第4回 エラーメッセージの危険性 
第5回 Webアプリケーションの検査テクニック 
第6回 Webサイトのセッションまわりを調べる方法 
第7回 攻撃されないためのセッション管理の検査方法 
第8回 Webサイトの問い合わせ画面に含まれる脆弱性 
第9回 オンラインショッピングにおける脆弱性の注意点 
第10回 安全なWebアプリケーション開発のススメ 
第11回 Webアプリケーションファイアウォールによる防御 
第12回 mod_securityのXSS対策ルールを作成する 
第13回 OSコマンドインジェクションを防ぐルールを作成する 
最終回 Webアプリケーションの脆弱性を総括する 

Webアプリにおける11の脆弱性の常識と対策
http://www.atmarkit.co.jp/ait/articles/0909/01/news158.html

クロスサイトスクリプティング対策の基本
http://www.atmarkit.co.jp/ait/articles/0211/09/news002.html
クロスサイトスクリプティング対策の基本(前編)
クロスサイトスクリプティング対策の基本(中編)
クロスサイトスクリプティング対策の基本(後編)
ちょっと古いけど、安心の国分さんの記事なので掲載。

■スマートフォンセキュリティ
Javaセキュアコーディング入門
http://codezine.jp/article/corner/437
Androidアプリの配布パッケージapkの解析について
Javaの参照型変数とセキュリティ
スマートフォンアプリへのブラウザ機能の実装に潜む危険 ――WebViewクラスの問題について
AndroidアプリにおけるDBファイルの正しい使い方
ハッシュテーブルに対する攻撃手法のはなし
整数オーバーフロー検出の3つのアプローチ ――mezzofantiのバグ修正
ContentProviderのアクセス範囲 ――Dropboxにおける脆弱性の修正
Androidアプリ開発者なら押さえておきたい Javaセキュアコーディングの意味と効果

イチから始める! Androidセキュリティ 連載インデックス
http://www.atmarkit.co.jp/fsecurity/index/index_androbasic.html
スマートフォンで「できちゃうこと」って?
知ってるつもりで知らない端末のほんとの挙動
デバッグ情報にご用心!
要注意! 本当は怖い出力データ
見せたくないなら「持たせない」が鉄則!

『Androidアプリのセキュア設計・セキュアコーディングガイド』【2014年7月1日版】
http://www.jssec.org/report/securecoding.html

Android Security - 安全なアプリケーションを作成するために
http://www.taosoftware.co.jp/android/android_security/

OWASP モバイルセキュリティプロジェクト - トップ10モバイルコントロール
https://docs.google.com/document/d/1QOWOrsAo-33bHLdAZksKa4F_8_A_6XndoDF6ri4na_k/edit
http://www.slideshare.net/uenosen/web-2010-3241609 

Apple セキュアコーディングガイド
https://developer.apple.com/jp/documentation/SecureCodingGuide.pdf

2014-07-12 初心者Webアプリケーション開発者がチェックすべき情報源2014 このエントリーを含むブックマーク このエントリーのブックマークコメント

毎年恒例の「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。

去年は手を広げすぎてかえって反応が悪かったので、最低限のものに絞ってみた。

上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。

必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているものを選択。

書籍としては、徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」、「めんどうくさいWebセキュリティ」と「実践 Fiddler」を掲載。

HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書」を追加。

■重点
★Webサイト構築
安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html 
LASDECなどで公開されていたウェブ健康診断仕様が別冊に加わった。標準チートシートとして使える。
セキュリティ実装 チェックリスト(Excel形式、33KB) 
安全なSQLの呼び出し方(全40ページ、714KB) 
ウェブ健康診断仕様(全30ページ、784KB) 

★発注仕様
OWASP Web システム/Web アプリケーションセキュリティ要件書
https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf
ただし、また上野宣。


★書籍
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
http://www.amazon.co.jp/dp/4797361190/
徳丸 浩 (著) ,価格:¥3,360
電子書籍版もある。

めんどうくさいWebセキュリティ
http://www.amazon.co.jp/dp/4798128090/
Michal Zalewski (著), 上野 宣 (監修), 新丈 径 (翻訳) 価格:¥ 3,129 

実践 Fiddler
http://www.amazon.co.jp/%E5%AE%9F%E8%B7%B5-Fiddler-Eric-Lawrence/dp/4873116163
Eric Lawrence (著), 日本マイクロソフト株式会社 エバンジェリスト 物江 修 (監訳) (翻訳), 長尾 高弘 (翻訳)
価格:¥ 3,456

★脆弱性
OWASP Top 10 2013 (日本語)
https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
Webアプリケーションを作る前に知るべき10の脆弱性


■セキュアWebアプリケーション開発
★IPA セキュア・プログラミング講座
http://www.ipa.go.jp/security/awareness/vendor/programming/index.html 
歴代プログラミング講座と、セミナー資料へのリンク集もあるから、Web開発のセキュリティプログラミングの
ポータルてして学んでいくとよい。
特に旧プログラミング講座のほうがコーディング事例もあるので、より理解しやすい。

★JPCERT:セキュアコーディング
http://www.jpcert.or.jp/securecoding.html
C/C++ セキュアコーディングセミナー資料
CERT C セキュアコーディングスタンダード
Java セキュアコーディングスタンダード CERT/Oracle 版
翔泳社 Codezine 連載集
「動けばいいってもんじゃない」 脆弱性を作り込まないコーディング(全6回)
実例で学ぶ脆弱性対策コーディング(全9回)

HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書
https://www.jpcert.or.jp/research/html5.html

“誤認逮捕”を防ぐWebセキュリティ強化術
http://itpro.nikkeibp.co.jp/article/COLUMN/20130218/456762/
遠隔操作ウイルス事案事例対策
[1]なりすましの攻撃手法 
[2]CSRFとクロスサイトスクリプティング 
[3]HTTPヘッダーインジェクションとクリックジャッキング 
[4]DNSリバインディング 
[5]暗号化の“皮”を重ねて匿名性を確保する「Tor」 

Webアプリケーションにセキュリティホールを作らないための
クロスサイトスクリプティング対策の基本
〜クロスサイトスクリプティング脆弱性とは?〜 
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html 
http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html 
http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html 

Webアプリケーションに潜むセキュリティホール 
http://www.atmarkit.co.jp/ait/kw/webapp_hisomu_securityhall.html
第1回 サーバのファイルが丸見え?! 
第2回 顧客データがすべて盗まれる?! 
第3回 気を付けたい貧弱なセッション管理 
第4回 エラーメッセージの危険性 
第5回 Webアプリケーションの検査テクニック 
第6回 Webサイトのセッションまわりを調べる方法 
第7回 攻撃されないためのセッション管理の検査方法 
第8回 Webサイトの問い合わせ画面に含まれる脆弱性 
第9回 オンラインショッピングにおける脆弱性の注意点 
第10回 安全なWebアプリケーション開発のススメ 
第11回 Webアプリケーションファイアウォールによる防御 
第12回 mod_securityのXSS対策ルールを作成する 
第13回 OSコマンドインジェクションを防ぐルールを作成する 
最終回 Webアプリケーションの脆弱性を総括する 

Webアプリにおける11の脆弱性の常識と対策
http://www.atmarkit.co.jp/ait/articles/0909/01/news158.html

クロスサイトスクリプティング対策の基本
http://www.atmarkit.co.jp/ait/articles/0211/09/news002.html
クロスサイトスクリプティング対策の基本(前編)
クロスサイトスクリプティング対策の基本(中編)
クロスサイトスクリプティング対策の基本(後編)
ちょっと古いけど、安心の国分さんの記事なので掲載。

■スマートフォンセキュリティ
Javaセキュアコーディング入門
http://codezine.jp/article/corner/437
Androidアプリの配布パッケージapkの解析について
Javaの参照型変数とセキュリティ
スマートフォンアプリへのブラウザ機能の実装に潜む危険 ――WebViewクラスの問題について
AndroidアプリにおけるDBファイルの正しい使い方
ハッシュテーブルに対する攻撃手法のはなし
整数オーバーフロー検出の3つのアプローチ ――mezzofantiのバグ修正
ContentProviderのアクセス範囲 ――Dropboxにおける脆弱性の修正
Androidアプリ開発者なら押さえておきたい Javaセキュアコーディングの意味と効果

イチから始める! Androidセキュリティ 連載インデックス
http://www.atmarkit.co.jp/fsecurity/index/index_androbasic.html
スマートフォンで「できちゃうこと」って?
ああああ知ってるつもりで知らない端末のほんとの挙動
デバッグ情報にご用心!
要注意! 本当は怖い出力データ
見せたくないなら「持たせない」が鉄則!

Androidアプリのセキュア設計・セキュアコーディングガイド
http://www.jssec.org/report/securecoding.html

Android Security - 安全なアプリケーションを作成するために
http://www.taosoftware.co.jp/android/android_security/

OWASP モバイルセキュリティプロジェクト - トップ10モバイルコントロール
https://docs.google.com/document/d/1QOWOrsAo-33bHLdAZksKa4F_8_A_6XndoDF6ri4na_k/edit
http://www.slideshare.net/uenosen/web-2010-3241609 

2013-09-04 バカッター事例集 このエントリーを含むブックマーク このエントリーのブックマークコメント

これはすばらしい。超使える。

【バカッター】【馬鹿発見器】twitterでの発言による逮捕者(書類送検者)まとめ

http://uguisu.skr.jp/recollection/twitter.html

【バカッター】【バカ発見器】ツイッターの主な暴露・炎上騒動のまとめ

http://uguisu.skr.jp/recollection/twitter2.html

Twitter】ツイッターの決定的瞬間、お手柄撮影まとめ

http://uguisu.skr.jp/recollection/twitter3.html

2013-08-30 GMO ロリポップ不正アクセス騒動をまとめてみた。(メモ) このエントリーを含むブックマーク このエントリーのブックマークコメント

昨日から、Wordpress関係のWeb改竄がJPドメインに対して行われています。低価格のblogサービスを提供しているサイトのロリポップGMOのInterQなどが被害を受けているようです。

原因は.htaccessとwp-config.phpの初期パーミッション

.htaccess → 644

◆wp-config.php → 444

だったようなので、同一サーバ内のユーザが侵入された場合、他のユーザの情報も閲覧可能であったため、wp-config.phpからDB情報(table名、ユーザID、パスワード)を取得して各ユーザのDBに不正アクセスしたのではないかと思われます。

公式見解が出ていないため、あくまで推測です。

最終的に

.htaccess → 644→604→600

◆wp-config.php → 444→404→400

へアクセス権を変更したようですが、それでも、不正アクセスを受けているのは、DB情報(table名、ユーザID、パスワード)がだだもれして、ハッカーサイトに情報が漏洩して、中華も参戦してやられ放題なのが、今の現状かな?

当初、ホスティング会社としては、被害を受けたのは、あくまでユーザの設定ミス(本当は、システム側の初期設定ミスだと思う)という立場のようですが、昨今まれに見る初動の失敗ですね。

どうも、ロリポップMySQLのDBへインターネットから接続し放題だったようですし、当初のロリポップが指導していた本事案のセキュリティ対策もピントはずれだったし、被害者にはもうしわけないですが、ものすごく、今年度を代表する事例となってしまいました。

昨日、facebookのほうにまとめていましたが、あまりに被害が広がっているので、情報提供の一助となればと、はてな の方に公開しておきます。

ちなみに、AWSなんかへの民族大移動も起きているみたいなんで、ロリポップさんは、本当にちゃんとやらないと、ユーザ、みんな逃げちゃうと思いますよ。ほんと。

気がついた情報はまた追記していきます。

【追記:】

当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について

http://lolipop.jp/info/news/4149/

[2013/08/30 19:13 追記]から、WordPressのプラグインの脆弱性から、特定ユーザに侵入、その後、wp-config.phpパーミッションミスから、すべてのユーザのwp-config.phpファイルの中身を抜かれて、対策後は、漏洩したDB情報を元に不正アクセスが続いていたようです。

昨日の昼以降の対応は、悪く無いと思いますが、ファーストサーバの事例と同じく、未検証の設定を流し込んでしまって、被害が拡大したりと、緊急対応の準備が全く足りていなかったことで2時被害が出てしまっています。これもまた、良い事例になってしまいましたね。他山の石として、皆さん、事前対策が重要だということを学びましょう。

【2次被害】ロリポップサーバーの予告無しフルパス変更で影響が出た人続出

http://matome.naver.jp/odai/2137777056565722101

ロリポップMySQLサーバのインターネット外部へのポート開放も、対策されたんですかね?

公式発表はないようですが・・・

[MySQL] ロリポップは、MySQLサーバにグローバルから接続できる(ものがある)?

http://d.hatena.ne.jp/ozuma/20120503/1335975957

■Web改竄情報
下記のURL参照は大丈夫ですが、ここから、ミラー閲覧注意。ウィルス感染する可能性があります。
Zone-H
http://zone-h.org/archive
wp-login.php が軒並みやられています。
JPドメイン Web改竄速報
http://izumino.jp/Security/def_jp.html
ツイッターアカウント
https://twitter.com/def_jp

■関連記事
【緊急警報!!】ロリポップGMOのinterQのWordPressが軒並み乗っ取られてます
http://www.landerblue.co.jp/blog/?p=8402

続) ロリポップWordPress大量乗っ取りについての推測と対応
http://www.landerblue.co.jp/blog/?p=8416

ロリポップ騒動から、AWS移行で死んだ日
http://www.landerblue.co.jp/blog/?p=8448

サイト改ざん警報:WordPress でのパーミッション設定に気をつけろ!
http://blogs.itmedia.co.jp/sakamoto/2013/08/wordpress-f918.html

【2次被害】ロリポップサーバーの予告無しフルパス変更で影響が出た人続出
http://matome.naver.jp/odai/2137777056565722101

もともと、Wordpressを狙った攻撃は4月〜多発しています。

WordPress利用者は至急確認を! 19万5千サイトを改ざんしたボット「Stealrat」の感染確認方法
http://reynotch.blog.fc2.com/blog-entry-583.htmlホスティング会社の見解
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について
http://lolipop.jp/info/news/4149/
1)セキュリティ面の強化の為、下記のお客様のサーバー領域に設置されているWordPressにおいて、wp-config.phpパーミッションを「400」に変更いたしました。
2)全ファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合、パーミッションを「000」に変更いたします。

ロリポップ!レンタルサーバーより、セキュリティに関する重要なお知らせです
https://lolipop.jp/security/

対策にadminユーザのユーザID名とパスワード変更が抜けている気がします。
あと、DBのID、パスワード変えろというのも抜けている気がする。

■Wordpressのセキュリティ対策
HASHコンサルティング株式会社代表の徳丸浩が書く会社公式ブログです。
http://blog.hash-c.co.jp/2012/12/how-to-protect-your-wordpress-on-lolipop.html
安心の徳丸印。

「WordPressの守りを固める」のまとめの章の訳
http://ja.naoko.cc/2013/04/13/wordpress-brute-force-attack/

WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
http://wp-d.org/2012/10/18/806/

WordPress のユーザー名 admin を変更してみる
http://8bitodyssey.com/archives/4007
新規にAdmin権限のユーザを作って、移行する場合

WordPressのadminユーザー名を変更するプラグイン
http://five-four.co.jp/design0003/
プラグ員を使って、adminユーザ名を変更

WordPressへの不正アクセスログを記録して見せてくれるプラグイン Crazy Bone
http://www.msng.info/archives/2013/05/wordpress-crazy-bone.php

WordPressのセキュリティを徹底強化
http://csspro.digitalskill.jp/チュートリアル/ワードプレス/wordpressのセキュリティ強化/

WordPress初心者向け セキュリティ強度をできる限り上げる方法
http://www.landerblue.co.jp/blog/?p=7410

WordPressのセキュリティ対策プラグイン10選
http://netaone.com/wp/wordpress-security/

WordPressでのセキュリティ対策
http://matome.naver.jp/odai/2133777080336131701

WordPressのセキュリティを見直して、“4つ”導入してみた!!
http://andask.net/create/review-the-wordpress-security.html