このアーカイブは ‘運用・管理’ のカテゴリーです。

安全なパスワードとは

先日、あるセミナーでセキュリティーに関する興味深い話を聞くことができました。 Top 10,000 passwords are used by 98.8% of all users 98.8%のパスワードは、Top 10,000パスワードリストに含まれるというもので、したがってハッカーにとって侵入は簡単だということです。 因みに、これがTop25パスワードですが、これがあれば20~30%にマッチするということだそうで・・・。間違っても使ってはいけませんね。 password, 123456, 12345678, 1234, qwerty, 12345, dragon, pussy, baseball, football, letmein, monkey, 696969, abc123, mustang, michael, shadow, master, jennifer, 111111, 2000, jordan, superman, harley, 1234567, そこで、ハッキングされたくなければパスワードをちょっと捻ったものにしてください。捻ったものとは、最低でも8文字、大文字と小文字、数字、特殊記号が入っているものということになります。 このサイトでパスワードの強度を調べることが出来ます。 http://www.passwordmeter.com/                

Webサイトがハッキングされたらすること ⑧ リビュー申請をする

グーグルによるハッキング対処法動画です。最終回はリビュー申請をするです。 最近大規模なハッキングが起こっています。サイトのオーナー(管理者)であれば「被害者」になる前にハッキングについての知識とその対処方法について基本的なことは知っておいてください。 弊社でも電子書籍としてWORDPRESSセキュリティ対策 基本マニュアルの発行と、Webサイトセキュリティ対策サービスの提供を行っております。最も重要なことは予防ですので、是非最低限の予防対策をされるとともに、ハッキングされた場合を想定して定期的にバックアップを取るようにしてください。 Step 8: Request a review Step 8. リビュー申請をする   ビデオの内容 Step 1. 概要(初級) Step 2. ホストに連絡し、対応体制を作る(初級) Step 3. サイトを隔離する (中級) Step 4. ウエブマスターツールを使う(中級) Step 5. スパムによるダメージ対処法 マルウェアによるダメージ対処法(上級) Step 6. 脆弱性の特定(上級) Step 7. サイトの復旧と管理(上級) Step 8. リビュー申請をする(中級)

Webサイトがハッキングされたらすること ⑦ サイトの復旧と管理

グーグルによるサイトの復旧と管理動画ですが、復旧方法についてはあまり詳しくは説明されていません。 最近大規模なハッキングが起こっています。サイトのオーナー(管理者)であれば「被害者」になる前にハッキングについての知識とその対処方法について基本的なことは知っておいてください。 弊社でも電子書籍としてWORDPRESSセキュリティ対策 基本マニュアルの発行と、Webサイトセキュリティ対策サービスの提供を行っております。最も重要なことは予防ですので、是非最低限の予防対策をされるとともに、ハッキングされた場合を想定して定期的にバックアップを取るようにしてください。 Step 7: Clean and maintain your site Step 7. サイトの復旧と管理 ビデオの内容 Step 1. 概要(初級) Step 2. ホストに連絡し、対応体制を作る(初級) Step 3. サイトを隔離する (中級) Step 4. ウエブマスターツールを使う(中級) Step 5. スパムによるダメージ対処法 マルウェアによるダメージ対処法(上級) Step 6. 脆弱性の特定(上級) Step 7. サイトの復旧と管理(上級) Step 8. リビュー申請をする(中級)

Webサイトがハッキングされたらすること ⑥脆弱性の特定

脆弱性の特定を行うのは一番難しい部分です。ある程度想定は出来ますが、「問題の原因はこれだった」と特定するのは至難の業です。 最近大規模なハッキングが起こっています。サイトのオーナー(管理者)であれば「被害者」になる前にハッキングについての知識とその対処方法について基本的なことは知っておいてください。 弊社でも電子書籍としてWORDPRESSセキュリティ対策 基本マニュアルの発行と、Webサイトセキュリティ対策サービスの提供を行っております。最も重要なことは予防ですので、是非最低限の予防対策をされるとともに、ハッキングされた場合を想定して定期的にバックアップを取るようにしてください。 Step 6: Identify the vulnerability Step 6.脆弱性の特定 ビデオの内容 Step 1. 概要(初級) Step 2. ホストに連絡し、対応体制を作る(初級) Step 3. サイトを隔離する (中級) Step 4. ウエブマスターツールを使う(中級) Step 5. スパムによるダメージ対処法 マルウェアによるダメージ対処法(上級) Step 6. 脆弱性の特定(上級) Step 7. サイトの復旧と管理(上級) Step 8. リビュー申請をする(中級)

Webサイトがハッキングされたらすること ⑤ マルウェアによるダメージ対処法

グーグルによるマルウェアによるダメージ対処法動画です。 最近大規模なハッキングが起こっています。サイトのオーナー(管理者)であれば「被害者」になる前にハッキングについての知識とその対処方法について基本的なことは知っておいてください。 弊社でも電子書籍としてWORDPRESSセキュリティ対策 基本マニュアルの発行と、Webサイトセキュリティ対策サービスの提供を行っております。最も重要なことは予防ですので、是非最低限の予防対策をされるとともに、ハッキングされた場合を想定して定期的にバックアップを取るようにしてください。 Step 5: Assess the damage (malware) Step 5. マルウェアによるダメージ対処法 マルウェアに感染しているかどうかは、 Google Safe Browsing diagnostic page で確認できます。 http://www.google.com/safebrowsing/diagnostic?site=ドメインネーム で確認してみてください。 ビデオの内容 Step 1. 概要(初級) Step 2. ホストに連絡し、対応体制を作る(初級) Step 3. サイトを隔離する (中級) Step 4. ウエブマスターツールを使う(中級) Step 5. スパムによるダメージ対処法 マルウェアによるダメージ対処法(上級) Step 6. 脆弱性の特定(上級) Step 7. サイトの復旧と管理(上級) Step 8. リビュー申請をする(中級)

Webサイトがハッキングされたらすること ⑤

最近大規模なハッキングが起こっています。サイトのオーナー(管理者)であれば「被害者」になる前にハッキングについての知識とその対処方法について基本的なことは知っておいてください。 弊社でも電子書籍としてWORDPRESSセキュリティ対策 基本マニュアルの発行と、Webサイトセキュリティ対策サービスの提供を行っております。最も重要なことは予防ですので、是非最低限の予防対策をされるとともに、ハッキングされた場合を想定して定期的にバックアップを取るようにしてください。 Step 5: Assess the damage (spam) Step 5. スパムによるダメージ対処法   ビデオの内容 Step 1. 概要(初級) Step 2. ホストに連絡し、対応体制を作る(初級) Step 3. サイトを隔離する (中級) Step 4. ウエブマスターツールを使う(中級) Step 5. スパムによるダメージ対処法 マルウェアによるダメージ対処法(上級) Step 6. 脆弱性の特定(上級) Step 7. サイトの復旧と管理(上級) Step 8. リビュー申請をする(中級)

Webサイトがハッキングされたらすること ④

最近大規模なハッキングが起こっています。サイトのオーナー(管理者)であれば「被害者」になる前にハッキングについての知識とその対処方法について基本的なことは知っておいてください。 弊社でも電子書籍としてWORDPRESSセキュリティ対策 基本マニュアルの発行と、Webサイトセキュリティ対策サービスの提供を行っております。最も重要なことは予防ですので、是非最低限の予防対策をされるとともに、ハッキングされた場合を想定して定期的にバックアップを取るようにしてください。 Step 4: Touch base with Webmaster Tools Step 4. ウエブマスターツールを使う(中級)   ビデオの内容 Step 1. 概要(初級) Step 2. ホストに連絡し、対応体制を作る(初級) Step 3. サイトを隔離する (中級) Step 4. ウエブマスターツールを使う(中級) Step 5. スパムによるダメージ対処法 マルウェアによるダメージ対処法(上級) Step 6. 脆弱性の特定(上級) Step 7. サイトの復旧と管理(上級) Step 8. リビュー申請をする(中級)

Webサイトがハッキングされたらすること ③

最近大規模なハッキングが起こっています。サイトのオーナー(管理者)であれば「被害者」になる前にハッキングについての知識とその対処方法について基本的なことは知っておいてください。 弊社でも電子書籍としてWORDPRESSセキュリティ対策 基本マニュアルの発行と、Webサイトセキュリティ対策サービスの提供を行っております。最も重要なことは予防ですので、是非最低限の予防対策をされるとともに、ハッキングされた場合を想定して定期的にバックアップを取るようにしてください。 Step 3: Quarantine your site Step 3. サイトを隔離する (中級) ビデオの内容 Step 1. 概要(初級) Step 2. ホストに連絡し、対応体制を作る(初級) Step 3. サイトを隔離する (中級) Step 4. ウエブマスターツールを使う(中級) Step 5. スパムによるダメージ対処法 マルウェアによるダメージ対処法(上級) Step 6. 脆弱性の特定(上級) Step 7. サイトの復旧と管理(上級) Step 8. リビュー申請をする(中級)

Webサイトがハッキングされたらすること ②

最近大規模なハッキングが起こっています。サイトのオーナー(管理者)であれば「被害者」になる前にハッキングについての知識とその対処方法について基本的なことは知っておいてください。 弊社でも電子書籍としてWORDPRESSセキュリティ対策 基本マニュアルの発行と、Webサイトセキュリティ対策サービスの提供を行っております。最も重要なことは予防ですので、是非最低限の予防対策をされるとともに、ハッキングされた場合を想定して定期的にバックアップを取るようにしてください。 Step 2: Build a support team Step 2. ホストに連絡し、対応体制を作る(初級) ビデオの内容 Step 1. 概要(初級) Step 2. ホストに連絡し、対応体制を作る(初級) Step 3. サイトを隔離する (中級) Step 4. ウエブマスターツールを使う(中級) Step 5. スパムによるダメージ対処法 マルウェアによるダメージ対処法(上級) Step 6. 脆弱性の特定(上級) Step 7. サイトの復旧と管理(上級) Step 8. リビュー申請をする(中級)

Webサイトがハッキングされたらすること① 概要

最近大規模なハッキングが起こっています。サイトのオーナー(管理者)であれば「被害者」になる前にハッキングについての知識とその対処方法について基本的なことは知っておいてください。 弊社でも電子書籍としてWORDPRESSセキュリティ対策 基本マニュアルの発行と、Webサイトセキュリティ対策サービスの提供を行っております。最も重要なことは予防ですので、是非最低限の予防対策をされるとともに、ハッキングされた場合を想定して定期的にバックアップを取るようにしてください。 Googleがハッキングされたサイトの対処方法を解説するサイトを公開しましたので動画を張り付けておきます。 引用:http://www.google.com/webmasters/hacked/ Help for hacked sites: Overview Step 1. 概要   ビデオの内容 Step 1. 概要(初級) Step 2. ホストに連絡し、対応体制を作る(初級) Step 3. サイトを隔離する (中級) Step 4. ウエブマスターツールを使う(中級) Step 5. スパムによるダメージ対処法 マルウェアによるダメージ対処法(上級) Step 6. 脆弱性の特定(上級) Step 7. サイトの復旧と管理(上級) Step 8. リビュー申請をする(中級)

9月のWordPress NYC Meetup:「Building for Agility: Lessons from Bloomberg LP」

9月18日(火)に行われてたWordPress NYC Meetup参加レポート後編です。

今回のメインテーマであった

「Building for Agility: Lessons from Bloomberg LP」>>>

ブルームバーグLPでは、WordPressのマルチサイト機能を使い、35以上のサイトを運営しています。
http://www.bloomberg.com/

今回はブルームバーグ社のWebサイトのインフラを統括するRory Murphy氏が公演しました。
開発者・ユーザー数で世界トップを誇り、情報の豊富さや将来的な拡張性といったメリットをもつ一方、オープンソースだからこそハッカーに狙われ易いのではないかという心配も多いWordPress。特に世界経済に大きな影響を与えかねない、センシティブな金融ニュースを扱うブルームバーグLP社もWordPressを使っているということで、彼らのセキュリティ対策に注目が集まりました。彼らは外部からのハッキング対策だけでなく、内部での情報発信管理といった面でのセキュリティ対策にも力を入れて取り組んでいます。誤った情報発信により社会的影響を与えるといった面ではどちらも共通しています。…

ウイルス、マルウェア対処法

【はじめに】 先月、取引先のサイトがウイルス(Malware)の被害に遭った。突然現れるWarningのメッセージは結構インパクトがあり、当然のことながら緊急対処を迫られる。 因みにこのメッセージはブラウザーによって表示されたりされなかったりするのだが、今回はウイルス被害者の方々の参考になるように修理方法や対処方法などを解説してみたい。 マルウェア (Malware) とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。マルウェアには、様々な脅威が含まれる。マルウェアの例としては、ウイルス、バックドア、キーロガー、トロイの木馬、WordやExcelのマクロウイルス、ブートセクタウイルス、スクリプトウイルス (BAT、Windowsシェル、JavaScriptなど)、クライムウェア、スケアウェア、スパイウェア、悪質なhttp://ja.wikipedia.org/wiki/マルウェア[1]、ミスリーディングアプリケーションなどがある[2][3][4][5]。日本では、「悪意のある不正ソフトウェア」または「不正プログラム」とも呼ばれる[6]。 出典: フリー百科事典『ウィキペディア(Wikipedia)』http://ja.wikipedia.org/wiki/マルウェア   1.先ずは全てのファイルをサーバーからダウンロードし取り去る*1。 ダウンロードする際には作業時間を短縮するためにいらないファイルは消してしまおう。 *1 私は public_html を public_html_infected という風にフォルダーごとアクセスできないようにした。そして、新しくpublic_htmlフォルダーを作り Under Maintenanceのページを置くことにした。そうすることによってGoogle側への報告が早く又確実なものになるからである。先ずはWarningメッセージを取り去ることが第一、サイトの修復はその後で良い。 public_html_infected をフォルダーごとダウンロードはじめよう。ダウンロードしている間に次の作業に移る。 2.Warningメッセージを取り去る為にはGoogleにコードリビューをお願いしなければならない。それにはGoogle Webmaster tools にアカウントを作る必要がある。 又、Verification用のファイル又はコードをサーバーにUPする必要がある。ウイルスが検出されなければ上記の赤い画面は表示されなくなる。 これでホッと一息つける。 https://www.google.com/webmasters/tools https://www.google.com/webmasters/tools/reconsideration こんな感じのメッセージを送った。 I have removed all files from my server except fresh “Under Maintenance” index.html page. please review my site.   3.さてダウンロードしたサイトのコードを調べる。 私の場合はDreamweaverのFind and Replace機能を使って怪しいコードを検索した。 4.以下がいわゆる…

badware対処法

Webアプリが高度・複雑化するとやはりセキュリティー対策は必要になりますね。 http://www.stopbadware.org http://badwarebusters.org あたりでじっくり防御策を学んで実施する時間をとりたいものですが、私の経験から言うとバックアップを取った際にサイト全体をスキャンするのがいいと思います。badwareやMalwareは大体<iflame> タグを使ってく埋め込まれており、大体のリンク先は.cn ドメインですので <iflame> を検索し、.cnドメインを探すと変なコードが埋め込まれていると見つかるはずです。因みにこの手のコードが狙うのはindexファイルで適当に繁殖しますので、一箇所で見つかれば他にもやられている可能性大です。 たいがいはGoogleのクローラーがサイトのオーナーより先に発見して、ブラウザーに警告メッセージを出してくれますが、Webサイトはハッキングされるものだと考えておいた方がいいでしょう。

リカバリー必勝マニュアル

最近のサイトはHTMLベースでの会社案内サイトはぐ~んと減り、殆どのプロジェクトはカスタマイズされたEコマースやCRM、そしてCMSを駆使したもので構築の難易度もさることながら管理の面でも気が抜けない。 特にデータベースを使ったサイトというものは時々おかしくなるものだ、メンテ無しで10年近く稼動しているサイトもあるにはあるが危険度は高いのでサイトが健康なうちにバックアップを正しくとっておくことを強くお勧めする。 バックアップを正しく取る、つまり障害が起きた際どういう手順でリカバリーするのかを押さえる必要がある。くれぐれもバックアップファイルがあるだけで安心してはならない。 ということで、幾つかのチエックポイントを挙げ実際にバックアップとリカバリーの検証をしてみました。 障害に様々なタイプがある。単にスクリプトエラーが出る程度のものから、データベースのデータが消えてしまうとか、HDDが潰れてしまうとか・・・・。 バックアップの基本は以下のファイル(データ)が取れている事。 HTML,CSS,JavaScript、PHP, Image 等のサイトを構成しているファイル Data Base Email Account SSL 今回は弊社で使っているWHM/Cpanelを使ってテストしてみました。 ファイルは消しても復元できました。 MySQLについては消した後も復元できました。 Emailアカウントとメッセージは未確認。 SSLのCertificateに関しては未確認。 ポイント サーバー内は常に整理整頓しておこう。いつのまにか不要なファイルがたまり全体のサイズが必要以上に膨れ上がっていることはよくあるが、サイズが重いとダウンロードとアップロードに支障をきたす。不要なデータベースも削除しておく。 サイトが完成した瞬間のバックアップはマスターとしてしっかりCD-ROMに焼いておく。 内容はPSDやFLA等のソースコード、サイト構成ファイル、データベース、ドキュメンテーション等 本番サーバーとは別に、正常に動作している状態で開発サーバーに残しておく。(Portfolioとして使用可) パスワードは一定時期に更新するように。

セキュリティ管理問題

官公庁やセキュリティ関連企業などによる啓蒙活動にも関わらず、Webサイトが不正アクセスによって被害を受ける事件は後を絶ちません。 一方で、セキュリティ診断の実施や外部の人からの善意の指摘によって、Webサイトに問題が存在することを知り、不正アクセスによる事件が起こる前に対策を施せたケースも少なくありません。また、実際に不正アクセス事件が発生していても、外部に公開せずに処理しているケースや、不正アクセスを受けた事実に企業側が気付いていないケースもあるようです。 Webサイトへの不正アクセス事件の話題が収束しない背景には、依然としてWebサイトからセキュリティ上の問題がなくならないことが原因だと考えられます。セキュリティ対策に労力を費やしているWebサイトがある一方、十分なセキュリティ対策が行われないまま放置されているWebサイトも少なくありません。昨年頃からは「セキュリティ格差社会」という表現が一部で使われるようになってきましたが、Webサイトにおいてもセキュリティ対策状況の差は明確になってきています。 問題が起きてからでは手遅れです。いまいちどセキュリティ管理を見直してみてはいかがでしょうか。