Wordpress

About Me 3000 widget でメールのアイコンが表示されない問題

右サイドバーに存在する「About Me 3000 widget」 自分が何者かを簡単に知らせることのできる便利なWordpressプラグインですが メールのアイコンが表示されない問題がある。   本来ならTwitterのマークの横にはメールアドレスのアイコンが表示されるはずですが 404となっている。   解決方法  (クリック) wp-content/plugins/aboutme3000.php を編集します。 変更内容は上記の通りです。   きちんとメールのアイコンが表示されればok Wordpressの設定である site_url と home_url が異なる場合に起きる問題です。 というか作者のミスかもしれない。

no image

WordPressに攻撃してくるリクエストがおもしろい!【block-wpscan】

WordPressを使用しているサーバーは脆弱性だらけとよく言われてます。 セキュリティはしっかりしないと簡単に侵入されたりしてしまいます。 そんな中で面白かったものをいくつか挙げてみたいと思います。 ちなみにここで紹介している不正アクセスは block-wpscan というプラグインでブロック可能です。   オーソドックスなブルートフォースアタック とログを見てみると無かった。これは意外だった。   xmlrpc.php   xmlrpc.php とは xmlrpc.phpはそもそも、これを使うことで標準の管理画面以外からもAPIを使って、記事の投稿ができるようになるもの。どうやらここへのブルートフォースアタックでのっとりをしようとしているか、Pingback機能を悪用して当サーバーを踏み台にして攻撃に利用するためにアタックされる事例が多い – https://iritec.jp/web_service/10258/ ブルートフォースアタックでもなく、落とそうとしたわけでもないですがやっぱりアクセスはあった。 しかも PHP直打ち。何がしたかったんだろうか…。 wp-login.php へのブルートフォースアタックするのもありますが、xmlrpc.php へでもID/PWをブルートフォースアタックすることができます。     意味不明な攻撃 UserAgentも何だか怪しいし、リクエストURLもやばい。 これだけ見ても全く理解できません。 実際のリクエストURLは長いです↓ [crayon-5b04577ad9ccf780176715/] で実際これが何なのか調べてみたら他CMSで使われる PoPs (Points of Presence) といわれる攻撃らしい。 影響あるのは Joomla というCMS。Wordpressには影響なさそう。 ちなみにbase64の部分をデコードしていくと、PHPコードが出てきます。 ということで割愛しますが、詳しくはここで解説されてます。 と、ここまで面白みのある不正なアクセスはそこまでありませんでしたがこれらの攻撃も防げる block-wpscan オススメです!

例外クローラーの追加、判定結果が分かるように。block-wpscan 0.4.2 をリリースしました

block-wpscan WordPressのプラグインです。 不正っぽいアクセスをブロックするものです。 WordPressでwpscan,tor,proxy,コマンドラインからのアクセスをブロックするプラグイン「block-wpscan」   Changelog Twitterbotを例外に追加 なんでブロックされたかを表示     Twitterbotを例外に追加 ブログの記事URLをツイートとかすると”Twitter-bot”からのアクセスがくる。 これがブロックされてたので例外へ追加するように。     なんでブロックされたかを表示 新たに”Judge”という項目を追加 ”Not browser”というのはコマンドラインからのアクセスを指します。 ベンチマーク取ってみたんだけど、何故かプラグインが無効の時のほうが速い…。 なんでだろう。誰かベンチマーク取ったら教えて下さい…。

ログの検索機能、リクエスト先の表示などを追加した block-wpscan 0.4.1 をリリース

block-wpscan とは Torのアクセスや、Proxyとか色々不正だと思うアクセスをブロックするプラグインです。 詳しくはこちらを見て下さい。 WordPressでwpscan,tor,proxy,コマンドラインからのアクセスをブロックするプラグイン「block-wpscan」     Changelog ログから検索する機能を追加 ログにリクエストURLを追加 ログに whois へのリンクを追加 livedoorのアクセスを例外に追加 ログのファイルサイズの表示を修正 ログの保存先を変更     ログの検索機能 検索フォームに入力するだけです。 IPアドレスでもユーザーエージェントでも、リクエスト先でも何でも検索できますが正規表現とかは使えないです。 Javascriptが書けないので jquery-searcher というのを使わせていただきました。     ログにリクエストURL, whois のリンクを追加 そのまんまです。 ブロックしたアクセスのIPとホストネームだけ表示しても意味ねえなと思って追加した。 GeoIPとかどうにかこうにかしたかったけど、ファイル数増やすのも嫌だし変に外部サービスに頼るのもWordpressのガイドラインか何かに 違反しそうなので断念した。自分でAPIサーバーか建てても良いけど負荷が大きくなりそう。     livedoorのアクセスを例外に追加 ログをリセットしてしまった関係で少ないけど割りと高頻度だったため、例外に追加した。     ログのファイルサイズの表示を修正 PHPのfilesize関数で 1024 / 1024 Mbyteみたいな書き方をしてたけど不格好だった。 Wordpressに size_format とかいう便利な関数があったからこれに変更。     ログの保存先を変更 wp-content/plugin/block-wpscan から wp-content/block-wpscan へ変更 アップデート毎に消されるのはどうかなと思いまちた。   雑書 ベンチマークを取ろうと思ったんですけどこのWordpressを動かしてるVPSが仮想1core / 512MB でベンチマークが取れません! テストができる環境になったらまた載せます…。 188.143.234.155  からのアクセスがユーザーエージェントはゴロゴロ変わりながら割りと高頻度でアクセスしてくる…。 コマンドラインからのアクセスだけどユーザーエージェントは偽装してるっぽい。 このプラグイン有能か???

不正なアクセスをブロックする block-wpscan の0.3.1へのアップデート

block-wpscan 0.3.1 をリリースしました。 WordPressでwpscan,tor,proxy,コマンドラインからのアクセスをブロックするプラグイン「block-wpscan」   Changelog ログ機能にUserAgentを追加   メッセージ表示機能にHTMLが使えるように メッセージ表示に加えてリダイレクト機能を追加(↓GIF再生) ログの削除機能を追加   ログの表示順を降順に変更     ベンチマーク All ON [crayon-5b04577ada02f382823975/]   All OFF [crayon-5b04577ada051059294882/] All ON Time taken for tests: 213.205 seconds All OFF Time taken for tests: 199.194 seconds 1000リクエストを投げて差は14秒程ができます。 1リクエスト0.33秒差ができます。   雑書 自分で使っててログとかを見てみるとロシアからのアクセスが多い。 多分VPNなりProxyなりだと思うけど。 UAも “php5.{3” とか意味分からないのがあったり libcurl からアクセスがあったり面白い。 月末に引っ越すんだけど時間が経つのは早いなぁ

block-wpscan 0.2.2のアップデートを配信

block-wpscan 0.2.2 を配信しました。 block-wpscan とは何か アップデート内容 UIの改善 をした。bootstrap感がすごいけど気にしないで欲しい。   ログ機能 ブロックしたアクセスの情報を見れる機能。 ファイルのパスだったり、ログの容量、ブロック件数は表示できるが削除機能を追加するの忘れてた。   お知らせ APIサーバーからサーバーの状況だったり、新しいアップデートがあったり通知が表示される。   ログ機能について IPアドレス、ホストネーム、日付が表示されます。 改善の余地がまだあるのと、削除機能はいつか追加します。 正規のアクセスなのにブロックしちゃってたりするのはここで確認できるので割りと重宝するのかな。   ベンチマーク Proxy ON / Tor ON / Log ON [crayon-5b04577ada1b9728740631/]   Proxy OFF / Tor OFF/ Log OFF [crayon-5b04577ada1c7141275596/] 全てONと全てOFFで1000リクエスト投げて差は3秒程度 0.0.1 の時より速くなってるけど誤差の範囲だろうか。 インストールは、管理画面のプラグインの検索から「block-wpscan」で可能です。

block-wpscan v0.0.3 へのアップデート

block-wpscan のアップデートをした。 内容 APIサーバーが死んでると勝手にTor判定するバグを直した。 ただそれだけです。 WordPressでwpscan,tor,proxy,コマンドラインからのアクセスをブロックするプラグイン「block-wpscan」 https://wordpress.org/plugins/block-wpscan/

WordPressでwpscan,tor,proxy,コマンドラインからのアクセスをブロックするプラグイン「block-wpscan」

これ何 コマンドラインからのアクセスや、Tor、Proxyからのアクセスをブロックするもの。 コマンドラインからのアクセスがブロックできれば、ブルートフォースアタックだったり解析だったりしにくくなる(はず) Googlebotからのアクセスはブロックされないのでクローラーはきちんと来てくれると思う。 ブロックされるとこんな感じになる。 HTTP ステータスコードは 406 Not Acceptable   インストール 「プラグインの追加」→キーワード「block-wpscan」で出てきます。   設定画面 英語の記述が合ってるのか分からないけどなんとなく通じると思います。 When block the access, What message do you want to display? アクセスブロックしたときなんてメッセージ流す? → そのまんまです。もしかしたらHTML埋め込めるかも Block Proxy ON / OFF → そのまんまです。負荷はそんなにないです。 ただProxyサーバーの設定によっては判別できないのでProxyでもアクセスできちゃう Block Tor ON / OFF → そのまんまです。負荷は僕のサーバーに依存します。 自分で建てたAPIで判別してるので、人が増えたらもしかしたら重くなるかも Torのnodeが出来たてでnode listに載ってないとアクセスできちゃうので100%ではない。 90%ぐらいの確率で判別はできる。 Exception IP 例外に追加するIPアドレス → 複数指定可能。例)1.1.1.1,2.2.2.2,3.3.3.3 テストとかに使えると思う。後はZabbixとかで監視に必要とか。   Command Line [crayon-5b04577ada376548433126/]   Proxy [crayon-5b04577ada39a673788771/]   Tor     ベンチマーク Proxy ON / Tor ON [crayon-5b04577ada39d552863429/]   Proxy OFF / Tor OFF [crayon-5b04577ada3a0548086333/]   プラグイン無効 [crayon-5b04577ada3a5750142755/]   ON / ON Time taken for tests: 214.698 seconds OFF / OFF Time taken for tests: 207.722 seconds プラグイン無効 Time taken for tests: 199.701 seconds 1000リクエストを投げて差はON/ON と 無効化だと15秒の差があります。   雑書 WordPressのプラグインを作るのは2つめだったりして余裕やろと思ってたんだけど POSTから取得するときとか、外部に文字列を表示するときはサニタイズしろ!バリデーションしろ!エスケープしろ!とうるさかった。ただ単に僕の知識不足で htmlspecialchars すればいいだけど思ってた。 あと、Wordpressの独自のエスケープ関数があったり中々楽しかった。 英文のミスだったり、正規のアクセスなのにブロックされるなどの不具合などがあったらぜひ教えて下さい。 Twitter: @lu_iskun ブログへのコメントでも大丈夫です。 あとForkもお待ちしております。 https://github.com/rluisr/block-wpscan