WordPressのセキュリティをアップする11のポイント へのコメント http://coliss.com/articles/blog/wordpress/2853.html サイト制作に関するアウトプットとクリップした情報を紹介するブログです。 Sun, 21 Mar 2010 07:43:31 +0000 http://wordpress.org/?v=2.9.1 hourly 1 WordPress はてなからの移行から設定までのサイトまとめ | ソースコード備忘録Press より http://coliss.com/articles/blog/wordpress/2853.html/comment-page-1/#comment-8915 WordPress はてなからの移行から設定までのサイトまとめ | ソースコード備忘録Press Fri, 05 Feb 2010 07:32:58 +0000 http://coliss.com/?p=2853#comment-8915 [...] WordPressのセキュリティをアップする11のポイント [...] [...] WordPressのセキュリティをアップする11のポイント [...]

]]> WordPressニュース&Tips » Blog Archive » WP Security Scan より http://coliss.com/articles/blog/wordpress/2853.html/comment-page-1/#comment-6283 WordPressニュース&Tips » Blog Archive » WP Security Scan Tue, 03 Nov 2009 17:04:38 +0000 http://coliss.com/?p=2853#comment-6283 [...] こちらのWordPressのセキュリティをアップする11のポイントを実行していれば問題ないと思います。 [...] [...] こちらのWordPressのセキュリティをアップする11のポイントを実行していれば問題ないと思います。 [...]

]]> WordPressのセキュリティをアップ « こま切れblogの詰め合せ より http://coliss.com/articles/blog/wordpress/2853.html/comment-page-1/#comment-6155 WordPressのセキュリティをアップ « こま切れblogの詰め合せ Fri, 30 Oct 2009 03:42:44 +0000 http://coliss.com/?p=2853#comment-6155 [...] WordPressのセキュリティをアップする11のポイント [...] [...] WordPressのセキュリティをアップする11のポイント [...]

]]> コリス より http://coliss.com/articles/blog/wordpress/2853.html/comment-page-1/#comment-4660 コリス Fri, 13 Feb 2009 14:04:02 +0000 http://coliss.com/?p=2853#comment-4660 > ゆりこ さん 前のコメントにも書きましたが、11番のケースは有用な場合や必要な場合があります。 ゆりこさん自身も『「ゼロではない」というのは間違っていない』と認識されていると思います。 そのため、当方では特に変更する予定はありません。 「readme.html」の件、ありがとうございました。 自動アップデートすると、自動でアップされてしまうのですね。 気がつきませんでした。 また、元記事がダメな記事だとは判断していません。 ※上記のみで充分とも思っていませんが。 元記事がけっこういい加減であると思われるなら、元記事にてコメントするか、自身のブログなりで言及すればよいのではないでしょうか。 問題の本質はそこだと思いますよ。 あと、当サイトの記事は「鵜呑み」して書いているものではありません。「鵜呑み翻訳」はひとつもなく、すべて「意訳」です。 11番も、有用な場合、必要な場合があると判断しています。 > ゆりこ さん

前のコメントにも書きましたが、11番のケースは有用な場合や必要な場合があります。
ゆりこさん自身も『「ゼロではない」というのは間違っていない』と認識されていると思います。
そのため、当方では特に変更する予定はありません。

「readme.html」の件、ありがとうございました。
自動アップデートすると、自動でアップされてしまうのですね。
気がつきませんでした。

また、元記事がダメな記事だとは判断していません。
※上記のみで充分とも思っていませんが。
元記事がけっこういい加減であると思われるなら、元記事にてコメントするか、自身のブログなりで言及すればよいのではないでしょうか。
問題の本質はそこだと思いますよ。
あと、当サイトの記事は「鵜呑み」して書いているものではありません。「鵜呑み翻訳」はひとつもなく、すべて「意訳」です。
11番も、有用な場合、必要な場合があると判断しています。

]]> ゆりこ より http://coliss.com/articles/blog/wordpress/2853.html/comment-page-1/#comment-4659 ゆりこ Fri, 13 Feb 2009 10:38:54 +0000 http://coliss.com/?p=2853#comment-4659 ちょっと長いですが、お付き合いください。 <blockquote>このエントリーは、Apacheでもなければ、PHPのバージョンに関するものではありません。</blockquote> いえいえ、Apache や PHP のバージョンを隠すことに関する議論が、そのまま WordPress に当てはまる、ということですよ。違うソフトウェアながら、サーバー上で動作するアプリケーションという共通点がありますから。 <blockquote>可能性を少しでも取り除くことが、よりセキュリティにつながると思います。</blockquote> どれだけ安全になるかは、かなり疑問なんです。よくある反論として、「攻撃者は、いちいちバージョン確認なんかせずに、絨毯攻撃のように多数のサイトを自動ツールで狙っている」というものがあります。 あと、バージョン番号を本当に除去したいなら、実は <code>remove_action('wp_head', 'wp_generator');</code> の記述だけでは不十分です。 まず、WordPress 2.6.5 以前の場合、wp-login.php にアクセスすると、HTML ソースの head 部分で、スタイルシートを呼ぶ部分に WordPress バージョンが入ってしまっています (WordPress 2.7 以降では、「ver=20081210」のような文字列になっています)。 そもそも、ログイン画面のデザインを見れば、2.0/2.1〜2.3/2.5〜2.6/2.7以降 の区別は簡単に付くことはご存知だと思います。 次に、WordPress の readme.html ファイルをサーバーから除去することが必要です。残念ながらコリスさんのサイトでも、http://coliss.com/readme.html が存在するため、バージョンが推測できます。 本気でバージョン番号を隠すことがセキュリティー向上になるとお考えならば、これらの手法にも言及するべきです。セキュリティーというのはちょっとでも漏れがあると意味がありませんので、他にバージョンを知る手段があれば、wp_generator アクションの除去という行為も無駄になってしまいます。 <blockquote>もし、英語に問題無いようであれば、本エントリーの参照記事のサイトで討論された方がよいと思います。</blockquote> 実は、問題の本質はそこではないんですよ……。。コリスさんが、英語の記事をそのまま鵜呑みにして翻訳されていることを、問題にしているんです。海外の情報を日本語化して紹介するという活動はすばらしいと思いますが、玉石混交な情報をうまく選別して頂きたいと思うのです。 今回の元記事はけっこういい加減なので、注釈が必要だと思いました。もし、コリスさんが的確にコメントを入れられれば、さらに記事の質が向上するかと思います。現状では、元記事のダメな部分がそのまま残っており、他の人が参考にするにはちょっと物足りない状況です。 ちょっと長いですが、お付き合いください。

このエントリーは、Apacheでもなければ、PHPのバージョンに関するものではありません。

いえいえ、Apache や PHP のバージョンを隠すことに関する議論が、そのまま WordPress に当てはまる、ということですよ。違うソフトウェアながら、サーバー上で動作するアプリケーションという共通点がありますから。

可能性を少しでも取り除くことが、よりセキュリティにつながると思います。

どれだけ安全になるかは、かなり疑問なんです。よくある反論として、「攻撃者は、いちいちバージョン確認なんかせずに、絨毯攻撃のように多数のサイトを自動ツールで狙っている」というものがあります。

あと、バージョン番号を本当に除去したいなら、実は remove_action('wp_head', 'wp_generator'); の記述だけでは不十分です。

まず、WordPress 2.6.5 以前の場合、wp-login.php にアクセスすると、HTML ソースの head 部分で、スタイルシートを呼ぶ部分に WordPress バージョンが入ってしまっています (WordPress 2.7 以降では、「ver=20081210」のような文字列になっています)。
そもそも、ログイン画面のデザインを見れば、2.0/2.1〜2.3/2.5〜2.6/2.7以降 の区別は簡単に付くことはご存知だと思います。

次に、WordPress の readme.html ファイルをサーバーから除去することが必要です。残念ながらコリスさんのサイトでも、http://coliss.com/readme.html が存在するため、バージョンが推測できます。

本気でバージョン番号を隠すことがセキュリティー向上になるとお考えならば、これらの手法にも言及するべきです。セキュリティーというのはちょっとでも漏れがあると意味がありませんので、他にバージョンを知る手段があれば、wp_generator アクションの除去という行為も無駄になってしまいます。

もし、英語に問題無いようであれば、本エントリーの参照記事のサイトで討論された方がよいと思います。

実は、問題の本質はそこではないんですよ……。。コリスさんが、英語の記事をそのまま鵜呑みにして翻訳されていることを、問題にしているんです。海外の情報を日本語化して紹介するという活動はすばらしいと思いますが、玉石混交な情報をうまく選別して頂きたいと思うのです。

今回の元記事はけっこういい加減なので、注釈が必要だと思いました。もし、コリスさんが的確にコメントを入れられれば、さらに記事の質が向上するかと思います。現状では、元記事のダメな部分がそのまま残っており、他の人が参考にするにはちょっと物足りない状況です。

]]> コリス より http://coliss.com/articles/blog/wordpress/2853.html/comment-page-1/#comment-4658 コリス Fri, 13 Feb 2009 06:18:42 +0000 http://coliss.com/?p=2853#comment-4658 > ゆりこ さん このエントリーは、Apacheでもなければ、PHPのバージョンに関するものではありません。 また、「function.php」を編集することはできるが、WordPressをアップデートすることができないというケースもあります。 ターゲットにされたアウトでしょうけど、バージョンだけでターゲットにする場合もあるでしょう。 可能性を少しでも取り除くことが、よりセキュリティにつながると思います。 もし、英語に問題無いようであれば、本エントリーの参照記事のサイトで討論された方がよいと思います。 Apache, PHPの議論は優劣つけがたいものでしょう。個人的には、少なくともエンドユーザーに知らせる必要がない情報であると思います。 > ゆりこ さん

このエントリーは、Apacheでもなければ、PHPのバージョンに関するものではありません。
また、「function.php」を編集することはできるが、WordPressをアップデートすることができないというケースもあります。
ターゲットにされたアウトでしょうけど、バージョンだけでターゲットにする場合もあるでしょう。

可能性を少しでも取り除くことが、よりセキュリティにつながると思います。

もし、英語に問題無いようであれば、本エントリーの参照記事のサイトで討論された方がよいと思います。
Apache, PHPの議論は優劣つけがたいものでしょう。個人的には、少なくともエンドユーザーに知らせる必要がない情報であると思います。

]]> ゆりこ より http://coliss.com/articles/blog/wordpress/2853.html/comment-page-1/#comment-4657 ゆりこ Fri, 13 Feb 2009 05:10:29 +0000 http://coliss.com/?p=2853#comment-4657 お返事遅くなってすいません。 <blockquote>> バージョン番号を隠しても安全にはならない 確かにそれ自体に効果はないですが、古いバージョン番号の公言がきっかけになってしまうこともゼロではないと思います。</blockquote> 「ゼロではない」というのは間違っていないのですが、「ほぼゼロに近いのではないか」ということなんですが……。 こういう意見も、すでに Aapache や PHP のバージョン番号についての議論で出尽しています。ですので、これらの議論について、調べられることをおすすめします。 お返事遅くなってすいません。

> バージョン番号を隠しても安全にはならない
確かにそれ自体に効果はないですが、古いバージョン番号の公言がきっかけになってしまうこともゼロではないと思います。

「ゼロではない」というのは間違っていないのですが、「ほぼゼロに近いのではないか」ということなんですが……。

こういう意見も、すでに Aapache や PHP のバージョン番号についての議論で出尽しています。ですので、これらの議論について、調べられることをおすすめします。

]]> コリス より http://coliss.com/articles/blog/wordpress/2853.html/comment-page-1/#comment-4656 コリス Fri, 23 Jan 2009 10:33:27 +0000 http://coliss.com/?p=2853#comment-4656 > ゆりこ さん 情報、ありがとうございます。 それを実施するだけで絶対安全かというと、11のポイント全てに当てはまってしまいます。 そのため、11のみクローズアップして、逆に1~10を実行すれば絶対安全であると、とられるのは避けたいと思います。 > バージョン番号を隠しても安全にはならない 確かにそれ自体に効果はないですが、古いバージョン番号の公言がきっかけになってしまうこともゼロではないと思います。 > ゆりこ さん

情報、ありがとうございます。

それを実施するだけで絶対安全かというと、11のポイント全てに当てはまってしまいます。
そのため、11のみクローズアップして、逆に1~10を実行すれば絶対安全であると、とられるのは避けたいと思います。

> バージョン番号を隠しても安全にはならない

確かにそれ自体に効果はないですが、古いバージョン番号の公言がきっかけになってしまうこともゼロではないと思います。

]]> ゆりこ より http://coliss.com/articles/blog/wordpress/2853.html/comment-page-1/#comment-4655 ゆりこ Fri, 23 Jan 2009 09:43:40 +0000 http://coliss.com/?p=2853#comment-4655 11番目の、WordPress バージョンを隠すことについてですが、セキュリティーの向上に繋がるかどうかは、少々疑問があります。Apache や PHP のユーザー間では、以前から、Apache, PHP のバージョンを隠すことの意義について議論がされており、セキュリティー向上にはならないという意見に一定の支持があります (攻撃者はバージョンなぞ見ずにいきなり攻略コードを送るから)。ただし、独自にパッチを当てた等、みかけのバージョンが古いままの場合、「指摘がうざい」という理由でバージョンを隠す人もいます。ちょっと検索されると、いろいろ議論が見つかると思います。 WordPress バージョンについても同様の議論があてはまります。少なくとも「古い (==危険な) バージョンを使っているとき、バージョン番号を隠しても安全にはならない」ことは確実です。「バージョンを隠せば安全になる」と勘違いする人を減らすため、11番目の項目については、上記の点について注釈を入れられないでしょうか。 11番目の、WordPress バージョンを隠すことについてですが、セキュリティーの向上に繋がるかどうかは、少々疑問があります。Apache や PHP のユーザー間では、以前から、Apache, PHP のバージョンを隠すことの意義について議論がされており、セキュリティー向上にはならないという意見に一定の支持があります (攻撃者はバージョンなぞ見ずにいきなり攻略コードを送るから)。ただし、独自にパッチを当てた等、みかけのバージョンが古いままの場合、「指摘がうざい」という理由でバージョンを隠す人もいます。ちょっと検索されると、いろいろ議論が見つかると思います。

WordPress バージョンについても同様の議論があてはまります。少なくとも「古い (==危険な) バージョンを使っているとき、バージョン番号を隠しても安全にはならない」ことは確実です。「バージョンを隠せば安全になる」と勘違いする人を減らすため、11番目の項目については、上記の点について注釈を入れられないでしょうか。

]]> ハーフボイルドペーパー 2.0 より http://coliss.com/articles/blog/wordpress/2853.html/comment-page-1/#comment-4654 ハーフボイルドペーパー 2.0 Thu, 18 Dec 2008 00:50:55 +0000 http://coliss.com/?p=2853#comment-4654 <strong>Wordpressのためのメモ</strong> WordPressのセキュリティをアップする11のポイント http://coliss.com/articles/blog/wordpress/2853.htmlとりあえず、WordPress構築後のためのメモ書き。忘れないようにね。 Wordpressのためのメモ

WordPressのセキュリティをアップする11のポイント
http://coliss.com/articles/blog/wordpress/2853.htmlとりあえず、WordPress構築後のためのメモ書き。忘れないようにね。

]]>