JSON、ジェイソン | Webサイトに必要なことと道具 https://xn--ecka7j.biz セキュリティ対策、最適化、ツール、工作 Thu, 12 Oct 2023 11:14:24 +0000 ja hourly 1 https://wordpress.org/?v=6.9.4 https://xn--ecka7j.biz/wp-content/uploads/2020/02/cropped-ogt-512-512-024-068-32x32.png JSON、ジェイソン | Webサイトに必要なことと道具 https://xn--ecka7j.biz 32 32 WordPress 6.0.2 セキュリティとメンテナンスのリリース https://xn--ecka7j.biz/site-operation/wordpress/4719/ Wed, 31 Aug 2022 05:00:31 +0000 https://xn--ecka7j.biz/?p=4719

 これはセキュリティ リリースであるため、
サイトをすぐに更新することをお勧めします。

セキュリティ & メンテナンス

  • ① 3 つのセキュリティ修正が行われました。
    • 1-1. リンク API 内で可能なSQLインジェクションの問題 SQL インジェクション
    • 1-2. プラグイン画面でXSSの脆弱性XSS
    • 1-3. the_meta()内の出力エスケープの問題
  • ② Core で 12 のバグ修正
  • ③ ブロック エディタの 5 つのバグ修正

修正

問題# 内容
No core Trac の以下のコアチケットが修正されました。
1 #56112 「コアパターン」が無効になっている場合に、 「theme.json」 へのリモートパターン登録を許可する
Allow remote pattern registration in theme.json when core patterns are disabled
2 #56184 「register_block_type」が「ancestor:原型:前身」ブロック設定を認識しない(問題)
register_block_type does not recognise “ancestor” block setting
3 #56210 「core:コア」:ワードプレスの新しいページデザインの問題
What’s new page design issue in core wordpress
4 #56225 6.0.1 に 「@since 6.1.0」 が登場 ???
`@since 6.1.0` appearing in 6.0.1
5 #56271 「カスタムテンプレート」のパーツが、更新されずに複製される (PHP 5.6)(問題)
Custom Template Parts are Duplicated, rather than being updated (PHP 5.6)
6 #56402 「Moment.js」を、アップグレードすべき ・・・
Moment.js should be upgraded
7 #56414 「Gutenberg:グーテンベルク」: WP 6.0.2 のコアへのバックポート()によるバグ修正
.Backport:バックポート とは、
   ソフトウェアシステムやソフトウェアコンポーネントの新しいバージョンからパーツを取得し、
   それらを同じソフトウェアの古いバージョンに移植するアクションのこと。
Backport bug fixes from Gutenberg into Core for WP 6.0.2
No GitHub 次のブロックエディタの問題が修正されました。
1 PR40656 クエリを継承するときに、「sticky posts:」スティッキー(先頭固定表示)投稿 設定を削除する(問題)
(WordPressリファレンス:
 Sticky Postsがない場合は、通常の投稿がループに表示され、
 Sticky Postsがあると先頭固定表示の投稿だけになってしまう)
Remove sticky posts setting when we inherit the query
2 PR41101 [Block Library – Query Loop]: スティッキー(接着:固定)コントロールを別のファイルに移動する(問題)
[Block Library – Query Loop]: Move sticky control to separate file
3 PR42539 ドキュメント: 「block.json」 JSON() スキーマ定義にバリエーション キーを追加する(問題)
.JSON:「JavaScript Object Notation」の略称。
JavaScriptはプログラミング言語の1つで、
Object Notation(オブジェクトの表記法)は、
人間が容易に読み書きしながらデータを簡単に扱えるようにフォーマットとして構造化した記述方法
Docs: Add variations key to block.json JSON schema definition
4 PR42975 「ブロックスタイル」: 長いボタンラベルを切り捨てる(問題)
Block Styles: Truncate long button labels
5 PR43221 「クラシックテーマ」で、「クエリブロック」がループ(問題)しないように
Prevent query block from looping in classic themes
]]> セキュリティ:あなたのホームページ危険です。管理者情報が丸見えです。 https://xn--ecka7j.biz/security/290/ Sat, 15 Feb 2020 06:45:00 +0000 https://xn--ecka7j.biz/?p=290 セキュリティ
ホームページ制作会社に丸投げしてはいけない その理由と対策。ホームページ制作会社が万全なセキュリティ対策を講じてくれるとは限らない

管理者ユーザ情報が丸見え。

管理者ユーザ情報が丸見え
管理者ユーザ情報が丸見え

✔ 管理者ユーザ情報が丸見え状態です。

✔ 管理画面が無防備に解放されています。(これとは別に)

対処が必要です。

このままでは、改ざん・情報漏洩・ランサムウェア被害などの対象となってしまいます。

SSL化していてもこれでは何の意味もありません

ブルートフォースアタックを受けたらひとたまりもありません

あなたは、どこにいますか?捜索隊を出しましょうか?あなたのサイトが危ういんです。
あなたのサイトはセキュリティ対策も・管理者情報の隠匿も無く、ユーザ情報がダダモレ状態で取得されます。更に悪いことにログイン画面もそのまま公開されてます。捜索隊を出しましょうか?あなたは迷っていませんか?あなたのサイトは攻撃を受けやすいままです!
イイネ.biz
2025.08.13

パスワードが分かってしまえば、攻撃者の、思うがままです。

今すぐ、あなたのホームページのセキュリティ対策が必用です。

  • 先ずは、管理者ユーザ情報を隠すことが先決です。
  • 次に必要なことは、管理画面の名称を変更し、管理者以外秘密にすることです。
セキュリティ:対岸の 火事 、 いいえ 違います 「 改ざんされたサイト 」 は 身近に あります
改ざんされた6サイトの内、3サイトが閉鎖(その内の1つ、整体院は廃業?) あなたのサイトに訪れて、あなたのお客さんになってくれるかも知れない人たちが、フィッシングサイトに誘導されて被害に遭うことにも、さらにWordPressサイト43の内23サイトがユーザ情報丸見え、WordPressサイトに必要なセキュリティが担保されていない。これはもう、対岸の火事と思ってもいられない・あなたのサイトは重大なセキュリティ対策を見過ごしていませんか?あなたの知らない内にフィッシングサイトに誘導する改ざんが行われ犯罪の踏み台・片棒を担がされることになる。セキュリティ対策を怠ると、サイトオーナーの知らない内に加害者側に立たされることになります。
イイネ.biz
2022.10.17

今回は、管理者ユーザ情報を隠す手段をお伝えします。

あなたのホームページは、2019/11/25にリニューアルした様です。

にもかかわらず、

肝腎のセキュリティ対策の多くが未適用です。

あなたのWordPressバージョンは5.3.2で最新バージョンですが、バージョンアップだけでは不十分です。

バージョン4.7から対策を怠るとREST API機能により、簡単にユーザ情報を第三者が簡単に抜き出せるようになりました。

あなたのホームページ制作会社はこの事実を知らない。

あなたのホームページを制作・保守しているホームページ制作会社はこの事実を知らない

バージョン4.7(2016/12/07リリース)のREST APIの(3年も前の)機能知らないから

  • REST APIに対する対策を怠っているからセキュリティ意識もなく技術的にも未熟です。

事実が物語っています。

バージョン4.7と4.7.1では、このREST APIの脆弱性を突かれ全世界で155万以上サイトが改ざんされるというセキュリティ事故が起こりました。

 バージョン4.7.2でREST APIの脆弱性については、一旦対応されましたが、REST API自体に対する対応を誤ると、重大な事故(インシデント)に見舞われると言う状況はかわりません。

 事実それ以降も様々な脆弱性が発見され、その対応の為だけでも、WordPressはバージョンアップを繰り返してきています。

 そして、ここで注意しなければいけないことは、WordPress本体だけのバージョンアップだけでは、不十分なことです。

先のREST APIの脆弱性に端を発した改ざんでもわかる様に、

あなたのホームページが使用している。

API(Application Programming Interface)、テーマ(theme:)、プラグイン(plugin:)も常に最新版にバージョンアップする必要があるのです。

なぜなら、WordPress本体はWordPress.orgより長年、無償で提供され続けています。

しかし、

  • API(アプリの機能や管理するデータなどを、外部の他のプログラムから呼び出して利用するための手順やデータ形式などを定めた規約を利用したもの)
  • plugin(ごく簡単に言うと、WoirdPressの機能を補完するアプリ)
  • thema(多くは、wordPressホームページの外観を装飾するもの。例えば業種・業態ごとのテーマ)

などは、有償・無償を含め、多くのサードパーティ(WordPress.org以外)が開発・提供してきているものが多く、

既に開発チームが解散して脆弱性対応ができなくなったものも少なくありません。

また脆弱性が見つかった場合でも、WirdPress.orgほどスピーディな対応は望めません。

ですから、これらの機能・制約を熟知したホームページ制作会社でなければ、対応できないのです。

WordPress自体は簡単な知識さえ身につければ、だれでも簡単にホームページを作ることができます。

WordPress自体は無償で提供されていますし、無償のAPI、plugin、themeも数多く存在しますから、知識さえあれば格安でホームページを作って売り出す(格安ホームページ制作が乱立しているのもこれらの背景があるからです)

でも、結果として安かろう悪かろうのホームページが多くなっているのです。

中途半端な知識で開発できることの弊害だと筆者は思っています。

実運用にそこそこ耐えられるかも知れませんが

セキュリティ対策など、一切考えていないホームページが多くなっています

ですがら、激安や安いと思われるホームページ制作には注意が必要なのです。

あなたのホームページも (制作費は安くなかったかも知れませんが結果は最低です。もう一度言います・言い方は良くないですが「最低です」)

セキュリティに対して何も対策をしていない。

あなたのホームページが正にこの状態です。REST APIに対して何の対策をしていません(ホームページ制作会社の無知

REST API 機能による管理者ユーザ情報の表示ができてしまう。

以下の図があなたのホームページの管理者ユーザ情報です。

ご覧いただいている様に管理者情報(IDの1番)が丸見えです。

ここではセキュリティ上マスキングしていますが大切秘密にしなければならない情報全部見えています

管理者ユーザ情報が丸見え
管理者ユーザ情報が丸見え

あなたも、実際にブラウザ(Firefox)のURL窓に、以下の入力をすると、ご覧いただけます(REST APIに対して何の対策をしていないと)

‘https://あなたのドメイン/wp-json/wp/v2/users 

‘https://あなたのドメイン/?rest_route=/wp/v2/users     

‘https://あなたのドメイン/?author=1

いづれかで、REST APIでこのサイトの鍵の1つユーザ情報はスグに分かります(何も対策がされていないから

あなたのサイトの場合どれでもヒットします。

✔ SSL(暗号化通信)化されてはいますが、これでは何の意味もありません。

つぎはブルートフォースアタック(総当たり攻撃)でパスワードを解析されたら、次の攻撃の格好のターゲットになりかねないのです。

あなたは、どこにいますか?捜索隊を出しましょうか?あなたのサイトが危ういんです。
あなたのサイトはセキュリティ対策も・管理者情報の隠匿も無く、ユーザ情報がダダモレ状態で取得されます。更に悪いことにログイン画面もそのまま公開されてます。捜索隊を出しましょうか?あなたは迷っていませんか?あなたのサイトは攻撃を受けやすいままです!
イイネ.biz
2025.08.13

これを対策する無料のプラグイン(XO Security)

無料のプラグイン(XO Security)
無料のプラグイン(XO Security)

XO Security簡単インストール & セットアップ

大事なポイント
最終更新:更新が止まっていないこと(現役であること) 使用中のWordPressと互換性があること(使えること)

導入する場合pluginは、ここが、大事

最終更新:更新が止まっていないこと(現役であること)
使用中のWordPressと互換性があること(使えること)

有効化

「有効化」ボタンで有効化します
「有効化」ボタンで有効化します
「有効化」ボタンで有効化します

XO Securityには色々な機能があります

XO Securityには色々な機能がありますが、

今回適用するのは、

WordPressのREST APIでユーザ情報を取得できないようにしておく」です。

他の機能は、

より分かりやすい日本製プラグイン(Site Guard WP Plugin)で実現しています。

このお話は、また別の機会に(Site Guard WP PluginついてはここからSiteGuard WP Plugin

今回使用する機能
REST API のURLプレフィックスを変更

REST API のURLプレフィックスを変更して

wp-jsonのアクセスを無効にします。

目的は、wp-json等のセキュリティ対策です。

デフォルト設定(有効化した段階)

デフォルト設定
デフォルト設定

「ログインログ記録」がデフォルトで✅されていますが、他は全てチェックなしです。

「REST API」のタブをクリックして、設定します。

REST API URL変更 ✅ オン
プレフィックス欄に、管理するプレフィックスを入力(ここではマスクしています) 「変更を保存」で更新を有効にします。

REST API URL変更    ✅ オン にして

        プレフィックス欄に、管理するプレフィックスを入力(ここではマスクしています)

「変更を保存」で更新を有効にします。

REST API URL変更後の有効性確認

  • wp-jsonのプレフィックス変更の有効性を確認
    • /wp-json/ 確認
 wp-jsonのプレフィックス変更の有効性を確認
 /wp-json/ 確認
  • /wp-json/wp/v2/users 確認
 wp-jsonのプレフィックス変更の有効性を確認
 /wp-json/wp/v2/users 確認
  •   /hoge/wp-json/ 確認
wp-jsonのプレフィックス変更の有効性を確認
 /hoge/wp-json/ 確認

/?author=1 はリダイレクトされて、イイネ.biz/404 になりました。

 wp-jsonのプレフィックス変更の有効性を確認
 /?author=n

データベースにXO Security専用テーブルが追加されました。

データベースにXO Security専用テーブルが追加されました。
データベースにXO Security専用テーブルが追加されました。

まとめ

PREST API に何も対策しないと、WordPress4.7から
投稿情報、固定ページ情報、ユーザ情報などもURLを指定するだけで簡単に見ることができます。

見るだけではなく、追加・更新・削除などもいとも簡単にあなたの知らないところから出来てしまうのです。

これらは、パスワード取得が前提ですが、パスワード取得も困難なことではないのです。

PRESTAPI自体を無効にすることもできますが、

他のプラグインなどもPRESTAPIを利用し始めているため、すべてをOFFにすると使えなくなってしまうプラグインなども出てきてしまう。

その為、今回は「ユーザ情報にはアクセスできないようにする」方法を取りました。

サイトオーナーは知らない
自分のホームページが放置され脆弱であることで利用者に優しくないことを(セキュリティ対策未実施)



]]>