フォーラムへの返信

15件の返信を表示中 - 1 - 15件目 (全65件中)
  • フォーラム: バグ報告と提案
    返信が含まれるトピック: SQLインジェクションでの改ざん

    @eucreate

    ご指摘の件ですが、仲間がいるかどうかというより、セキュリティに関する知見があるかどうかが問題ではないでしょうか。セキュリティ専門のエンジニアというのもいますし、最近は攻撃方法も多彩なので、継続的に情報を追っておく必要があります。

    – IPAのセキュリティ情報 https://www.ipa.go.jp/security/announce/alert.html
    – Sucuriのブログ https://blog.sucuri.net/

    他にも色々ありますが、普段からセキュリティの情報を摂取しておくことをオススメします。

    やはり、今後は私のような仲間を持たない開発者では、無理なのでしょうか?

    仲間がいないと身軽で楽ですが、やはり専門的な強みを複数持った仲間でチームを作った方がよいにきまっています。衆寡敵せず、です。また、友達や同僚、部下などでなくとも、頼りになるパートナーとしての外注先を1つぐらい持っておくと心強いですね。

    なんでも自分一人でできればそれに越したことはないですが、人間の力には限界がありますので。

    フォーラム: バグ報告と提案
    返信が含まれるトピック: SQLインジェクションでの改ざん

    @eucreate

    お疲れ様でした。また報告もとても参考になります。
    基本的に脆弱性の指摘については、

    – 再現性があること
    – 必要な情報が過不足なく提供されること
    – パブリックな場所で書かず、専用の窓口を利用すること

    などが最低条件になります。今回はクライアントからの相談ということだったかと思いますが、たとえばクライアントであったとしても、上記の情報がないとなんの診断もできない(たとえていうなら、「患者がいないのに診療する」みたいなことでしょうか)ということを前提に対応されるとよいかもしれないですね。

    フォーラム: バグ報告と提案
    返信が含まれるトピック: SQLインジェクションでの改ざん
    Takahashi Fumiki

    (@takahashi_fumiki)

    @eucreate

    アクセスログ(ですよね?)に残っていたSQLインジェクションの痕跡が実際の被害の原因であるというのをなぜそんなに確信されているのでしょうか? 私のサイトにもSQLインジェクションやディレクトリトラバーサルの痕跡はみられますが、実際の被害はありません。
    実際にやってみて、同じ被害が出るか試してみて再現性を担保するとより確信が深まるのではないでしょうか。

    被害の実態は「ファイルの改ざん・追加」ですので、そうした攻撃を行う場合はまた別の脆弱性があることが多いです。ぜひ、1つ前のアドバイス通り、利用プラグインのチェックをオススメします。

    フォーラム: バグ報告と提案
    返信が含まれるトピック: SQLインジェクションでの改ざん
    Takahashi Fumiki

    (@takahashi_fumiki)

    @eucreate

    被害の状況を見るに、MySQLインジェクションではなく、ローカルファイルインクルージョンだと思われます。
    あくまで推測ですが、利用しているプラグインやテーマに脆弱性が存在していて、攻撃者によって好きなファイルを配置することができてしまっているのではないでしょうか。
    htaccessを見るに、スパムサイトへリダイレクトされる仕組みになっていますが、他の攻撃結果と整合性がないことから、よく知られた脆弱性を突かれた感じがします。

    4.9.7にダウングレードすることが解決策になるかどうかは現時点ではわかりません。

    なんにせよ、プラグインorテーマの名前+脆弱性で検索してみると、何か分かるかもしれません。
    “plugin-name vulnerability” とかで調べるとわかりやすいかと。

    フォーラム: バグ報告と提案
    返信が含まれるトピック: SQLインジェクションでの改ざん
    Takahashi Fumiki

    (@takahashi_fumiki)

    @eucreate

    興味深いですね。たしかにそのログはSQLインジェクションですが、成功したかどうかはそれだけだとわかりませんね。また、SQLインジェクションで被害が出るのはコンテンツの書き換えですが、拝見する限り、ファイルパーミッションを奪首されているので、別の理由のような気がします。

    特にプラグインの脆弱性によって、ファイル書き込み権限を奪首されるケースはいくつかあります。まずは古いプラグインを利用していないかどうか、チェックしてみてはいかがでしょうか。

    コマンドラインツールで改ざん検知もできます。 https://capitalp.jp/2017/12/12/wp-cli-starts-checksum-command-test/

    また、仮に脆弱性だった場合は本家に報告するのがよいと思います。 https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/

    フォーラム: 使い方全般
    返信が含まれるトピック: 「 mb_strimwidth」と「strip_tags」の組み合わせ方

    @puniler

    ショートコードを除去して構わない(=データベースに保存されている内容そのままで構わない)のであれば、次のやり方でいけないですかね。

    // ループ内で実行。そうでない場合、$post->post_content が行方不明に。
    $raw_content     = strip_tags( strip_shortcodes( $post->post_content ) );
    $limited_content = mb_strimwidth($raw_content, 0, 100, '…', 'UTF-8');
    $tagged_content  = nl2br( $limited_content );
    echo wp_kses_post( '<p>'.trim( $tagged_content ) .'</p>' );
    
    • この返信は7 ヶ月、 1 週前に Takahashi Fumiki さんが編集しました。
    フォーラム: 使い方全般
    返信が含まれるトピック: 「 mb_strimwidth」と「strip_tags」の組み合わせ方

    @puniler

    「改行が連続」というのが「WordPressの管理画面のテキストエディタで改行が連続」という意味なら、それはpタグに変換されます。

    これが1行目
    これが2行目
    

    上記の変換結果は次のようになります。

    <p>
    これが1行目<br/>
    これが2行目
    </p>
    

    で、次が改行連続の場合。

    これが1行目
    
    これが2行目
    

    上記の変換結果は次のようになります。

    <p>
    これが1行目
    </p>
    <p>
    これが2行目
    </p>
    

    ご要望に沿っているはともかく、strip_tagsのタグでpタグも追加し、出力するときにdivでくくればいいんじゃないでしょうか。

    @shibakaito

    Gianismの作者です。
    Updraft Plusは使っていないのですが、Gianismを利用しているサイトで最近BackWPupというDropbox保存プラグインのバックアップ保存がこけることが増えているので、DropboxのAPI側との相性があるのかもしれません。もしUpdraft Plusの保存先(たしかいくつか選べますよね)がDropboxなら、関係があるかもといった印象です。
    ちょっと調査してみますので、なにかわかったらまた投稿します。

    フォーラム: バグ報告と提案
    返信が含まれるトピック: 初心者です、非常に困っています。
    Takahashi Fumiki

    (@takahashi_fumiki)

    @azuchimomoyama

    すみません、ちょっと間違っていました。

    https://example.com/?cat=-1

    上記のようなURLの場合、「カテゴリーID1以外の投稿一覧」というURLになります。
    たとえば、僕のブログだとそういう表示になっています。

    https://takahashifumiki.com/?cat=-1

    カノニカルURLのメタタグは出ていないですね。なので、googleにfetchされてしまったのかもしれません。

    基本的にそのURLでなにかが表示されること自体は別にエラーではないので、元々お困りだった「Googleの検索結果から除外する」ということを解決するために、Google Search Consoleから個別に登録してみてはどうでしょうか。

    https://example.com/?cat=-1

    Google Search ConsoleでのURL除外方法についてはおググりください。

    フォーラム: バグ報告と提案
    返信が含まれるトピック: 初心者です、非常に困っています。
    Takahashi Fumiki

    (@takahashi_fumiki)

    @azuchimomoyama

    テーマはなんというものを利用していますか?
    なんとなくですが、カテゴリーリンクへの描き間違いのような印象を受けました。
    本来であれば、パーマリンクはカテゴリースラッグ+スラッグ名で
    example.com/category/category-slug
    もしくはタームIDを利用して
    example.com/?cat=1
    となるのが正しいです。

    もし自作テーマでカテゴリーリンクを間違ってそのように書いてしまっている場合、検索エンジンのクローラーがそのリンクを辿ってインデックスしてしまっている状態(しかも適切に404を吐いていない)だと思います。

    フォーラム: 使い方全般
    返信が含まれるトピック: 変なスクリプトが勝手にかきこまれる。

    @sa-koi

    エクステンションとは拡張機能のことでどれを削除すればいいのかわからないのですが、間違いなく必要な分以外全部削除するということで、問題は解消されますでしょうか?

    必要な拡張機能がウィルスに感染している可能性もありますので、なんとも言えません。
    また、問題が解消するかもやってみないとわからないので、面倒でなければ試してみてはいかがでしょうか。

    僕のアドバイスはなんらかの確証があってのことではなく、調べてみたらブラウザが拡張機能経由でウイルス感染しているケースが検索結果に見つかったからです。ブラウザが感染している場合、いくらWordPress側を調査しても問題が発見されないので、有益なのではと思って書き込みました。

    フォーラム: 使い方全般
    返信が含まれるトピック: 変なスクリプトが勝手にかきこまれる。

    @sa-koi

    ブラウザのマルウェアっぽいですね。Chromeのエクステンションを全部削除するといいようです。
    https://forum.manjaro.org/t/solved-malware-on-chrome-and-firefox-s-igmhb-com-worldnaturenet-xyz/41595

    @echizenya

    考えられるのは……

    • じつはまだ以前のレンタルサーバーが表示されている
    • テキストウィジェットが表示されている
    • テーマ内のsidebar.phpに直接書いてしまっている

    といったところでしょうか。

    フォーラム: 使い方全般
    返信が含まれるトピック: 投稿者によるフロントエンド削除
    Takahashi Fumiki

    (@takahashi_fumiki)

    @rptsukan3859

    REST APIを使うとできます。以下は投稿を作成する例ですが、要はこういうことです。

    https://capitalp.jp/2017/10/17/post-to-wordpress-via-rest-api/

    削除のエンドポイントは、投稿ID10だとhttps://example.jp/wp-json/wp/v2/posts/10になります。ここにDELETEメソッドでリクエストを送ります。

    カスタム投稿タイプはデフォルトだとREST APIに出てこないので、注意してください。

    https://developer.wordpress.org/rest-api/extending-the-rest-api/adding-rest-api-support-for-custom-content-types/

    フォーラム: プラグイン
    返信が含まれるトピック: Never Let Me Go 退会処理時に不要なメールが飛びます

    @tamakana

    よかったです。このトピックを解決済みにしておいてください。

15件の返信を表示中 - 1 - 15件目 (全65件中)