• TOP
  • Web戦略
    • Web戦略全般
    • インバウンド・マーケティング関
    • 動画マーケティング
    • メールマーケティング(リスト活用)
    • Webマーケティングツール
  • SEO
    • SEO(検索エンジン最適化)
    • SEO一般
    • Googleに関するSEO
    • Googleアップデート/変更
    • リンクビルディング・構築
    • LocalSEO(Googleプレイス)
    • Search Marketing Expo関連
    • Moz(SEOmoz)
    • SEM(広告)
  • コンテンツ
    • コンテンツ作成一般
    • キラーコンテンツを作るには
    • ブログ/ビジネスブログ
    • podcast
    • ケーススタディ
  • HP制作
    • ホームページ作成・運用
    • マーケティングとWebデザイン
    • ランディングページ最適化(LPO)
    • ウェブ製作技術
    • スマートフォン対応術
    • アクセス解析・ウェブ解析
    • ECサイト運用
  • SNS活用
    • ソーシャルメディア活用
    • Facebook
    • Twitter
    • Google+
    • Pinterest
    • SNS活用その他
  • Webinar
    • 音声セミナー(Podcast)
    • 動画セミナー(Youtube)
  • 運営会社
中小企業Web戦略ラウンドナップ
  • TOP
  • Web戦略
    • Web戦略全般
    • インバウンド・マーケティング関
    • 動画マーケティング
    • メールマーケティング(リスト活用)
    • Webマーケティングツール
  • SEO
    • SEO(検索エンジン最適化)
    • SEO一般
    • Googleに関するSEO
    • Googleアップデート/変更
    • リンクビルディング・構築
    • LocalSEO(Googleプレイス)
    • Search Marketing Expo関連
    • Moz(SEOmoz)
    • SEM(広告)
  • コンテンツ
    • コンテンツ作成一般
    • キラーコンテンツを作るには
    • ブログ/ビジネスブログ
    • podcast
    • ケーススタディ
  • HP制作
    • ホームページ作成・運用
    • マーケティングとWebデザイン
    • ランディングページ最適化(LPO)
    • ウェブ製作技術
    • スマートフォン対応術
    • アクセス解析・ウェブ解析
    • ECサイト運用
  • SNS活用
    • ソーシャルメディア活用
    • Facebook
    • Twitter
    • Google+
    • Pinterest
    • SNS活用その他
  • Webinar
    • 音声セミナー(Podcast)
    • 動画セミナー(Youtube)
  • 運営会社
中小企業Web戦略ラウンドナップ
No Result
View All Result

Robert Scoble氏のWordPressも何度かCrackされていたらしい

中山陽平(Webコンサルタント) by 中山陽平(Webコンサルタント)
in 未分類
Reading Time: 17min read
A A
Share on FacebookShare on TwitterはてなでシェアLineでシェア

※現在進行中緊急性高い話題のようです。2.8.4以前の方要注意ください!
こちらが詳しいです。http://blog.yoshitomo.org/archives/524

 

Robert Scoble氏のWordpressも、何度もCrackされていたそうです。

▼I don’t feel safe with WordPress, hackers broke in and took things
http://scobleizer.com/2009/09/05/i-dont-feel-safe-with-wordpress-hackers-broke-in-and-took-things/

Crackってどんなものだろうとおもってリンク先を見ると、このタイプ。

First, there are strange additions to permalinks, such as example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/. The keywords are “eval” and “base64_decode.”

http://www.techcrunch.com/2009/09/05/security-threat-wordpress-under-attack/

適当な外部書き込みが出来るディレクトリに、base64_decode+悪意のあるコードを埋め込んだエンコード文字列でリクエストをかけて、内部でphpファイルを作って乗っ取りをかけ、その後、隠れたAdminユーザを作って、wp-config.phpをいじって、例えばテンプレートを改ざんしたりするようです。

ざっと関連情報を見たところ、目的はさまざまなようですが、単純にテンプレートに自分のサイトへのリンクを張ってバックリンク稼ぎをするだけのものから、.htaccessを使って別のサイトに強制的に飛ばして、アクセス者の環境変数とか取ってうんちゃらしていくものまでさまざまな模様です。

IEのセキュリティホールと組み合わされたりしなければ、アクセスしてくる人にとってはそこまで脅威ではないですが管理者にとっては大変です。

目次

  • 1 攻撃例
  • 2 WordPressのプラグインにも
  • 3 WordPressの裾野が広がっているので…
  • 4 余談

攻撃例

実際に攻撃を受けた方のログがこれです、こういった流れも多いと。

1. Others に対して書き込み権限を与えてあるディレクトリに、include_once() の http ハンドラを使用してロシアのサイトに接続するよう記述された php ファイルを作成する。(ファイル名はいくつかのパターンがありますが、system.php config.php など、他の PHP ファイルに紛れ込むようなファイル名が付けられています)

2. Others に対して書き込み権限を与えてあるディレクトリに、.htaccess を作成し、1 で設置されたファイルに誘導しようとする。

3. Others に対して書き込み権限を与えてある、既存の拡張子が .php のファイルに対して、1 と同様の内容を追記する。

4. Others に対して書き込み権限を与えてある、既存の拡張子が .html .htm のファイルに対して、外部参照 JavaScript でロシアのサイトに接続するよう追記する。

Rhein-strasse » Blog Archive » Web サイトが攻撃を受けました

WordPressのプラグインにも

しかし、ちょっと本題からはずれるのですがWordPressってPluginを追加して自分好みにカスタマイズしていこうというイメージが、MovableTypeに比べて強いと思います。そのためか、Pluginに同様の仕組みが入っていた!というようなものもあるみたいですね。

下の記事で紹介されている「Twitter Poster」というプラグインは、広告部分をbase64_decodeで出力していたために問題になっています。

▼WordPressとeval(base64_decode(…)) – ExP10S10nZ’s BLΩG
 http://blog.sabaitiba.com/2009/03/12/905.html?wscr=1600×1200

強い対応策を打つことは現実的には、なかなか難しそうですね。期待できるとすれば、Googleが何かWordpress.orgと個別に話をしていないかな、とか。WPのクラッキングにしても、プラグインにしてもリンクを獲得することが目的のものが大半のようなので

WordPressの裾野が広がっているので…

Worpress側がどんなに「バージョンアップしてください」「こういうことはしないでください」と言っても、大半のユーザやっぱり、めんどくさかったり、とりあえず入れて使っているだけでそもそもそういう情報を気にしていない、というものです。MTの2.6とか使っている人もまだまだいます。少なくとも自分の周りにすでに数名。

WordPressは自分で入れるから自己責任と言うのは正論ですが、それはそれとして現状打開としてなんらかの仕組みを入れないと、いたちごっこは続きそうです。

自動アップデートの仕組みを入れるとか、あるいは少なくともWordpressのDLをする際に、自分でセキュリティなどに対応できない人はSaaS型(ASP型)を選ぶように誘導するなどはやった方が良いのではと。

余談

逆に言うと、「セキュリティ関連は放って置いても安心」なサーバインストール型のCMSが出たら、WPに対して一部のセグメントに対してはシェアを取れるのではと思います。

MTもその辺を保障しているわけではないですし、SaaS型(ASP型)にすると制限がきついからサーバインストール型にしたいけど運用コストはかけたくない、っていう層は確実にあると思うんです。

これからWordPressなどをつきくずしてくとしたら、そのセグメントを橋頭堡にするのも一つの道としてありだなと思います。

Share187Tweet117BookmarkShare
Previous Post

自分のサイトのtitleやdescriptionなどを一括でリストアップする方法

Next Post

SEOmozで学ぶメールマーケティングの5つのコツ

中山陽平(Webコンサルタント)

中山陽平(Webコンサルタント)

今こそ「ウェブを頑張りたい」小さな会社のウェブ活用パートナー 距離の近い「リモート型コンサル」で、一緒に目標達成・不安解消・未来への道づくりを 緊急事態下でも平常対応・毎日コンサルに依頼や相談が可能・中小企業特化ノウハウ・HP制作運用も対応可能

この記事を読んだ人はこちらも読んでいます

マーケティングとWebデザイン

日本のマーケティングが10年遅れているというのは本当?

2019年1月9日
Web戦略全般

経営戦略全体の中で「ウェブで何ができるか」の結果がウェブ戦略だということ

2018年11月9日
Googleに関するSEO

SEOは無意味じゃない、ただ、ビジネスモデル的に情報発信から入っているサイトは注意

2018年10月8日
Next Post

SEOmozで学ぶメールマーケティングの5つのコツ

今週のTwitterピックアップ(9月上期)

Discussion about this post

人気記事.

GoogleAnalyticsで複数ドメインを一括管理するための簡単な方法

2012年1月14日

「リンクベイト」だけではコンテンツマーケティングは成立しない

2012年10月24日

最新の記事

日本のマーケティングが10年遅れているというのは本当?

2019年1月9日

経営戦略全体の中で「ウェブで何ができるか」の結果がウェブ戦略だということ

2018年11月9日

SEOは無意味じゃない、ただ、ビジネスモデル的に情報発信から入っているサイトは注意

2018年10月8日

MENU

  • TOP
  • Web戦略
    • Web戦略全般
    • インバウンド・マーケティング関
    • 動画マーケティング
    • メールマーケティング(リスト活用)
    • Webマーケティングツール
  • SEO
    • SEO(検索エンジン最適化)
    • SEO一般
    • Googleに関するSEO
    • Googleアップデート/変更
    • リンクビルディング・構築
    • LocalSEO(Googleプレイス)
    • Search Marketing Expo関連
    • Moz(SEOmoz)
    • SEM(広告)
  • コンテンツ
    • コンテンツ作成一般
    • キラーコンテンツを作るには
    • ブログ/ビジネスブログ
    • podcast
    • ケーススタディ
  • HP制作
    • ホームページ作成・運用
    • マーケティングとWebデザイン
    • ランディングページ最適化(LPO)
    • ウェブ製作技術
    • スマートフォン対応術
    • アクセス解析・ウェブ解析
    • ECサイト運用
  • SNS活用
    • ソーシャルメディア活用
    • Facebook
    • Twitter
    • Google+
    • Pinterest
    • SNS活用その他
  • Webinar
    • 音声セミナー(Podcast)
    • 動画セミナー(Youtube)
  • 運営会社
Facebook Twitter Soundcloud Youtube
中小企業Web戦略ラウンドナップ

“ウェブが苦手な中小企業をゼロにしたい”
「まず、どうすれば」「苦手意識が…」とお悩みの方へ
ウェブ活用の道を作り、全国対応で常に不安解消・各種依頼が可能。
安心実績700社のWebコンサルティング/各種制作なら。

Follow Us

カテゴリー

  • ECサイト運用
  • Facebook
  • Google+
  • Googleに関するSEO
  • Googleアップデート/変更
  • LocalSEO(Googleプレイス)
  • Moz(SEOmoz)
  • Pinterest
  • podcast
  • Search Marketing Expo関連
  • SEM(広告)
  • SEO(検索エンジン最適化)
  • SEO一般
  • SNS活用その他
  • Twitter
  • Webマーケティングツール
  • Web動画マーケティング
  • Web戦略全般
  • アクセス解析・ウェブ解析
  • インバウンド・マーケティング関連
  • ウェブ製作技術
  • キラーコンテンツを作るには
  • ケーススタディ
  • コンテンツ作成一般
  • スマートフォン対応術
  • ソーシャルメディア活用
  • ブログ/ビジネスブログ
  • ホームページ作成・運用
  • マーケティングとWebデザイン
  • メールマーケティング(リスト活用)
  • ランディングページ最適化(LPO)
  • リンクビルディング・構築
  • 業務日誌・お知らせ

© 2021 ラウンドナップWebコンサルティング(株式会社ラウンドナップ)

No Result
View All Result
  • TOP
  • Web戦略
    • Web戦略全般
    • インバウンド・マーケティング関
    • 動画マーケティング
    • メールマーケティング(リスト活用)
    • Webマーケティングツール
  • SEO
    • SEO(検索エンジン最適化)
    • SEO一般
    • Googleに関するSEO
    • Googleアップデート/変更
    • リンクビルディング・構築
    • LocalSEO(Googleプレイス)
    • Search Marketing Expo関連
    • Moz(SEOmoz)
    • SEM(広告)
  • コンテンツ
    • コンテンツ作成一般
    • キラーコンテンツを作るには
    • ブログ/ビジネスブログ
    • podcast
    • ケーススタディ
  • HP制作
    • ホームページ作成・運用
    • マーケティングとWebデザイン
    • ランディングページ最適化(LPO)
    • ウェブ製作技術
    • スマートフォン対応術
    • アクセス解析・ウェブ解析
    • ECサイト運用
  • SNS活用
    • ソーシャルメディア活用
    • Facebook
    • Twitter
    • Google+
    • Pinterest
    • SNS活用その他
  • Webinar
    • 音声セミナー(Podcast)
    • 動画セミナー(Youtube)
  • 運営会社

© 2021 ラウンドナップWebコンサルティング(株式会社ラウンドナップ)