ようこそ!浜村拓夫の世界へ

    ブログ内検索

    最近の記事

    ブックマーク数の多い記事

    Blog Translation

    Powered By FC2ブログ

    Powered By FC2ブログ
    ブログやるならFC2ブログ


    FC2ブログ LOGIN

    with Ajax Amazon

    WordPressの脆弱性回避策

    このエントリーを含むはてなブックマーク はてなブックマーク - WordPressの脆弱性回避策 あとで読む
    WordPressの脆弱性が報告されていた。

    人気CMS「WordPress」に脆弱性、至急更新を | マイナビニュース

    脆弱性は、攻撃者が悪用することで、コメントやフォーラム、ディスカッションを通じて「クロスサイトスクリプティング(XSS)」を実行できるというもの。この手法は「蓄積型XSS」と呼ばれるもので、Webサイトが蓄積しているコンテンツ中にスクリプトを紛れ込ませる。



    蓄積型XSS - Google検索

    3種類のクロスサイトスクリプティングとその対策

    クロスサイトスクリプティングは、攻撃者が用意したスクリプトを、ユーザが信頼する第三者の Web サイトから提供されたものとして、ユーザの Web ブラウザ上で実行させる手法です。

    攻撃は、攻撃者のスクリプトを第三者の Web コンテンツ中に紛れ込ませることにより実現されます。紛れ込ませる手法は、次の3種類に分類できます。

    - persistent 型 (stored 型、蓄積型)
    Web サイトが蓄積しているコンテンツ中に紛れ込ませる
    - non-persistent 型 (reflected 型、反射型)
    Web サイトが動的に作り出すコンテンツ中に紛れ込ませる
    - DOM 型
    Web ブラウザ内に蓄積しているコンテンツ中に紛れ込ませる



    PHPやJavaScriptに限らず、動的なWebサイトは、セキュリティーに注意して作らないと、脆弱性が生じる。

    WordPressを安全に利用する一つの方法として、WrodPressを動的Webサイトを作るツールとして使うのではなく、静的Webサイトを作るツールとして利用すれば良い。

    ・静的サイト生成のプラグインを使い、HTMLファイルを作る。
    ・Webサーバーで、PHPインタプリタ―が不要なHTMLファイルなら、高速に処理できる。
    ・静的サイトなら、キャッシュサーバーやCDNを利用して、高速に処理できる。

    WordPressを静的サイト生成(Static Site Generator)ツールとして利用することによって、脆弱性対策のみならず、C10K問題も解決できるだろう。

    基礎からのWordPress 改訂版 (BASIC LESSON For Web Engineers)
    高橋 のり
    SBクリエイティブ
    2015-04-18
    ¥ 3,434

    関連記事

    コメント

    コメントの投稿


    管理者にだけ表示を許可する

    トラックバック

    トラックバックURL:
    http://hamamuratakuo.blog61.fc2.com/tb.php/1219-1e23f509

    FC2Ad