WordPress偽セキュリティプラグイン「WP-antymalwary-bot.php」による管理者権限乗っ取りと広告収益窃取 Last Updated on 2025-05-02 15:02 by TaTsu 2025年1月下旬、Wordfenceのセキュリティ研究者が、WordPressサイトを標的とした新たなマルウェアキャンペーンを発見した。 このマルウェアは「WP-antymalwary-bot.php」という偽のセキュリティプラグインとして配布されており、「addons.php」「wpconsole.php」「wp-performance-booster.php」「scr.php」などの別名でも確認されている。 このプラグインは、管理者ダッシュボードから自身を隠しつつ、攻撃者に管理者権限を付与し、REST APIを通じてリモートコード実行やテーマヘッダーへの悪意あるPHPコード
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「WordPress File Upload」に脆弱性が判明した。アップデートが提供されている。 「同4.24.11」および以前のバージョンに「パストラバーサル」の脆弱性「CVE-2024-9047」が明らかとなったもの。リモートより認証を必要とすることなく、ファイルの読み取りや削除が可能となる。 DefiantのWordfenceによると、特に「PHP 7.4」以下で同プラグインを使用している場合に影響を受けるという。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 最新版となる「同4.24.12」において同脆弱性は修正されており、アップデートが呼びかけられている。 (Securit
WooCommerceというWordPress用プラグインでショップを構築している。最近、デジタル商品(PDF)の販売もやり出しているのだが、一つ問題があって、WordPressはメディアファイルをアップロードすると/wp-content/uplaods/というディレクトリ以下にファイルが置かれるのだが、これには何も制限がかかってなくて、直接URLを入力したらファイルが表示されてしまう。これじゃ販売してる意味がないし、検索エンジンクローラーにも引っかかってしまう。 まぁFTP使って、直接アクセスできない領域に置けばいいじゃないかという話もあるのだが、諸事情からそれは見送り(詳細省きます)。次のような要件を.htaccessで実現することにした。 要件 デジタル商品(.pdf、.mp3、.zip)へのアクセスは禁止 ただし拡張子の前に_sampleと着いているものはアクセス可能。 e.g.
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 ロシアのアンチウイルス製品を開発するDoctor Webは、WordPress CMSをベースとしたWebサイトをハッキングする悪意のあるLinuxプログラムを発見したと発表した。 Linuxマルウェアが複数の古いWordPressプラグインやテーマに存在する30の脆弱性を悪用して、悪意のあるJavaScriptを注入していた。その結果、ユーザーが感染ページの任意の領域をクリックすると、他のサイトにリダイレクトされる被害が起きていたという。 このマルウェア(トロイの木馬)は32ビットと64ビットの両方のLinuxシステムをターゲットにしており、そのオペレーターにリモートコマンド機能を与える
営まれている業種によってはサイトに予約機能を追加することで、従来なら人が行っていた予約の受付から顧客の管理までの業務すべてを自動で行えるため、大きな業務効率化になりえるでしょう。 WordPressでも、プラグインを活用すれば予約システムを設けることができます。また、サイトに予約システムを設置する別の方法として、予約システム作成ツールを使うこともできます。 今回は、WordPressで予約システムを利用するメリットを紹介するとともに、予約システムが設置できるプラグイン、サイトに予約システムを埋めることができるツールをご紹介します。お試し感覚で導入できますので、緊急で使いたいという方や、気軽に試したいといった方は検討してみてはいかがでしょうか。 WordPressで予約システムを利用するメリット WordPressで作ったWebサイトに予約システムを設置するメリットについて解説します。 低コ
Appleが無料アプリとして提供されてきたiOS版「WordPress」アプリのアップデートをブロックし、課金オプションを追加するように要求してきたと、WordPressの開発者でありAutomatticの創業者でもあるマット・マレンウェッグ氏が語っています。 WordPress claims Apple cut off updates to its completely free app because it wants 30 percent - The Verge https://www.theverge.com/2020/8/21/21396316/apple-wordpress-in-app-purchase-tax-update-store スマートフォン向けOSとして市場を二分するAppleのiOSとGoogleのAndroidには、それぞれApp StoreとGoogle P
プログラミングについて教える12万円の情報商材がひどいということがSNSなどで話題になっている。筆者の観測する限り、発端は下記のツイート。 弟が12万のプログラミング教材買おうとしてて中身見たけどようこんなの12万で売ってるなって内容だった。 初心者を馬鹿にするのもいい加減にしろって感じだわ。 — 宮水 (@rails_java_like) May 9, 2019 この12万円の教材というのは、おそらくマナブというブロガー・アフィリエイターのプログラミング独立の完全ロードマップだろう。内容は次の通り。 1.PHPとSQLの基礎を理解しよう 2.jQueryの基礎を理解しよう 3.WordPressの基礎を理解しよう 4.SEOの内部対策を理解しよう 5.WordPressの自作テーマを作ろう 6.鬼のコーディング練習道場(10本) 7.ポートフォリオサイトを作ろう 8.受注できる見積書を作
「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。 3月以降脆弱性が確認されたプラグイン 2019年3月以降、脆弱性の悪用が報告されたプラグインは次のもの。 No 報告日 対象のプラグイン インストール数 バージョン 脆弱性 1 2019/03/15 Easy WP SMTP 40万件超 1.3.9以前 管理者への特権昇格 2 2019/03/21 Social Warfare 6万件超 3.5.2以前 XSS(格納型)、任意コードの実行 3 2019/03/30 Yuzo Related Posts 6万件超 5.12.91以前 XSS(格納型) 4 2019/04/09 Visual CSS S
EUが5月に施行した「一般データ保護規則(GDPR)」への準拠を支援する「WordPress」向けのプラグインに、深刻な脆弱性が含まれていることがわかった。乗っ取りや改ざんなどの被害が発生している。 脆弱性が明らかとなったのは、コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「WP GDPR Compliance」。オランダのVan Onsが開発を手がけている。ショッピングサイトなどのGDPR対応を支援するプラグインとして提供されているもので、アクティブなインストール数は10万件以上にのぼる。 「同1.4.2」および以前のバージョンに権限昇格の脆弱性が存在し、11月6日にWordPress.orgのPlugin Directory Teamが開発者へ報告。同社では同月7日にアップデートとなる「同1.4.3」をリリースした。 脆弱性の悪用が始まっ
9年ほどWordPress/独自ドメインで個人ブログを書いていましたが、はてなブログに移転してきました。 この記事では、私がはてなブログに引っ越してきた理由を説明したいと思います。 見ての通り私はワードプレスではなくはてなブログを選択した上でのメリット等を説明したおすすめ記事です。それを書く上で必要な事として関係性を明示します。 <関係性明示> 私はSEOのアドバイザーとしてはてなブログに関わっております。 この記事で2013年に公表していますが、2011年のはてなブログの公開時の設計から関わりまして、今もはてなブログと検索エンジンの適合性を増すためのお手伝いを報酬を頂いて続けております。 </関係性の明示> 以上のため、私の立ち位置ははてなブログの外部スタッフです。その事を踏まえて下記記事を御覧ください。 ただ今回の移転先の選択にその事は影響していません。はてなブログが立ち上がってから8
デジタルパブリッシャーは、ほかのいろいろな企業の技術に頼っているため、施行間近の一般データ保護規則(GDPR)を遵守するのが難しい可能性がある。Googleはこれまで、こうしたジレンマのもっとも目立つ例だった。だが、ブログプラットフォームのWordPress(ワードプレス)も、その一例だ。 デジタルパブリッシャーは、ほかのいろいろな企業の技術に頼っているため、施行間近の一般データ保護規則(General Data Protection Regulation:以下、GDPR)を遵守するのが難しい可能性がある。Googleはこれまで、こうしたジレンマのもっとも目立つ例だった。だが、ブログプラットフォームのWordPress(ワードプレス)も、その一例だ。 WordPressは、インターネット上の30%のサイトが利用していると宣伝しているが、そうしたサイトを支えているのは、WordPress.c
WordPressの投稿ではカテゴリーやタグを設定できますが、固定ページでは設定できません。固定ページでもカテゴリーやタグを設定したい、ということもあるかと思います。 そこで今回は、固定ページでもカテゴリーやタグを使えるようにする方法を紹介したいと思います。 固定ページでカテゴリーを使えるようにする方法 固定ページでカテゴリーを利用できるようにするには、利用しているテーマのfunctions.phpに以下のコードを追加します。 // 固定ページにカテゴリーを設定 function add_categorie_to_pages(){ register_taxonomy_for_object_type('category', 'page'); } add_action('init','add_categorie_to_pages'); // カテゴリーアーカイブに固定ページを含める funct
一人で仕事をしていると、会社員だった頃と違って、 会社に蓄積されていた知見、人的知識データベースの後ろ盾がなくて、心細くなります。 インターネットで検索すれば、出てくる情報もたくさんあるのですが、整頓して集約する方法がなければ断片的で、後から困ることも。 ブックマークサービスも便利はいいんですが、ジャンルごとでデータベース化したいですよね、参考リンクや資料。 てことで、WordpressとGoogleDriveを使って、データベースサイトを作ることにしました。 サイトにしておけば、私以外の人が情報を探すときのお役立ちにも。 私は出先でもどこでもデータベースにアクセスできるし、広告収入にちょっぴり期待も。 作ってみたら、基本的な構造は難しくなく、便利がいいもの。 と、いうことで、どんな手順で準備したのか、手順を記録しておきます。 STEP1.データベースの設計と基本設定 そもそもデータベース
SEO・高速化・モバイルファースト最適化済みのシンプルな無料Wordpressテーマ。100%GPLテーマです。 以前公開したSimplicityの後継となるテーマです(※後釜ということで完全な互換性はないです)。 新しくテーマを作成したのは、Simplicity自体元々、個人用に作成したものを公開したテーマだったので、機能を増設するにつれて、多少の無理も出てきて、動作確認が大変になってきたからです。 また、Simplicityは、約4年前に公開したものなんですが、「当時のWEB状況」と「最近のWEB状況」に乖離もでてきました。ですので、一度現在の状況に合わせて作り直しておきたかったからです。 元々Simplicity自体、僕が初めてPHPで作成したプログラムだったので、当時はPHPの作法などをよくわかっておらず、書き直したい部分もいろいろ出てきたというのもあります。 こういった複合的な理
お客さま各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 ブログ/CMS プラットフォームのWordPressにおいて、自動更新が行われなくなる不具合 を含んだ「WordPressバージョン4.9.3」が開発元より配布され、今後の自動更新が行われ ない状態となっています。 すでにその不具合を修正した最新バージョンが配布されておりますため、お客さまにお かれましてはご利用中のWordPressのバージョンを確認いただき、最新バージョンへの更 新をお願いいたします。 対象バージョン以外をご利用中のお客さまも、この機会に最新バージョンへのアップデ ートをおすすめいたします。 さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯努 めてまいります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 <記>
function add_ad_before_h2_for_3times($the_content) { //広告(AdSense)タグを記入 $ad = <<< EOF ////////////////////////// //ここにアドセンスを挿入// ////////////////////////// EOF; if ( is_single() ) {//投稿ページ $h2 = '/^<h2.*?>.+?<\/h2>$/im';//H2見出しのパターン if ( preg_match_all( $h2, $the_content, $h2s )) {//H2見出しが本文中にあるかどうか if ( $h2s[0] ) {//チェックは不要と思うけど一応 if ( $h2s[0][0] ) {//1番目のH2見出し手前に広告を挿入 $the_content = str_replace(
You don't have permission to access "http://www.whitehouse.gov/wp-login.php" on this server. この辺は当然アクセス不可。 /wp-content/ しか見えなくてWPのインストール先も分からない。 検索 動的な部分はここだけ? /search/ なのでここだけ許可してるのかもしれない。 WPではないかもと思ったけどソース見る限りはWP。 Akamaiっぽいので検索以外は全面的にCDN経由での表示だろうなぁ。 当然ながらセキュリティ的には厳重。 CDNからだと静的なhtmlを表示してるだけと同じなのでWPっぽい攻撃はしようがない。 あんまり突っ込むのも危険なのでここでやめておく…。
米ホワイトハウスのWebサイトが2017年12月中旬にリニューアルされ、それに合わせてCMSがDrupalからWordPressに変更されていたことが分かりました。 米国の政治動向を報じるWashington Examinerの12月14日付の記事「White House website redesigned to save taxpayers '$3 million per year'」によると、米政府はホワイトハウスのWebサイトを約1カ月数カ月かけてリニューアル。12月中旬にリニューアル後のWebサイトが公開されました(「1カ月」は翻訳ミスでした。お詫びして訂正します)。 リニューアル後はクリーンでシンプルかつ大統領にふさわしい威厳のあるデザインになっただけでなく、目的のコンテンツを見つけやすくなるなどの機能が追加され、また年間で600万ドル(約6億6000万円)かかっていたコストが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く