WordPressのLiteSpeed Cacheに重大な脆弱性がある

参照記事
WordPressの人気プラグイン「LiteSpeed Cache」に重大な脆弱性があることが判明、数百万ものウェブサイトが乗っ取られる可能性も

公式ページ
LiteSpeed Cacheページ

以下のとおり、脆弱性に対してはすでに解決されたバージョンがリリース済みです。

6.4.1 – Aug 19 2024

• ❗Security This release patches a security issue that may affect previous LSCWP versions since v1.9.
• 🐞Page Optimize Fixed HTML minification returning blank page issue. (#706)
• 🐞CDN Fixed a bug when Cloudflare status option is empty. (#684 #992174)
• Core Minimum required WP version escalated to WP v4.9.

2024年7月セキュリティ情報

約20万アカウントの情報漏えいか　平文パスワードも　ペットベンチャーに不正アクセス

https://www.itmedia.co.jp/news/articles/2405/16/news192.html

 不正アクセスによるお客様情報流出のお詫びと再発防止策についてのご報告

• 2022年1月13日～2024年5月3日までに「ココグルメ」および「ミャオグルメ」をご 注文または登録情報を変更いただいた198,200件分（アカウント数）の会員様情報の一部
• 2018年3月5日～2024年5月3日 までに 「ココグルメ」「ミャオグルメ」「ぺっとる」にアップロードいただいた28,237件分*（アカウント数）の写真画像データ （*全件が個人情報の流出件数に該当するものではありません）

教わることについて

教わってばかりだと、考えることが出来なくなる。

失敗した時は、自分で何を失敗したのか考えて。
次回同じことを繰り返さないと反省することが大事。

聞いたことは、復唱することが大事。出来ない人は、内容を理解していないことが多い。

東京ガス。恋愛ゲーム『ふろ恋私だけの入浴執事』ウェブサイトへの不正アクセスによるお客さま情報の流出について

 東京ガス。ウェブ会員１０，３６５件のメールアドレス、ニックネームを不正アクセスにより流失。

恋愛ゲーム『ふろ恋 私だけの入浴執事』ウェブサイトへの不正アクセスによるお客さま情報の流出について 

添付のPDFの内容。

２０２１年１月３０日恋愛ゲーム『ふろ恋私だけの入浴執事』ウェブサイトへの不正アクセスによるお客さま情報の流出について東京ガス株式会社東京ガス株式会社は、「癒やし」と効果的な入浴方法等の情報提供を目的とした恋愛ゲーム『ふろ恋私だけの入浴執事』をウェブサイトおよびスマートフォン用アプリにて運営しております。 

このたび、当該ウェブサイトへの不正アクセスにより、登録されていたウェブ会員１０，３６５件のメールアドレスおよびニックネームが流出していたことが判明いたしました。 弊社といたしまして、お客さまに大変なご迷惑、ご心配をおかけすることになりましたことを心からお詫び申し上げます。 

 １．発覚した経緯本年１月２８日に、前日２３時頃から当日９時頃の間に、当該ウェブサイト・アプリ内に、海外アダルトサイトへ誘引するリンクが存在していることを覚知しました。外部からの不正アクセスが疑われたため調査をしたところ、１月２９日夜に、当該ウェブサイトが不正アクセスされ、登録されていたウェブ会員１０，３６５件のメールアドレスおよびニックネームが流出していたことが判明いたしました。

 ２．流出したお客さま情報当該ウェブサイトに登録されていたウェブ会員１０，３６５件のメールアドレス、ニックネーム 

３．発生原因当該ウェブサイトに対する第三者からの不正アクセスが原因で、詳細は調査中です。 

４．弊社の対応本年１月２８日に不正アクセスを覚知後、直ちに原因究明および被害状況の調査を開始するとともに、当該ウェブサイトへの不正アクセスを遮断する対策を講じています。その上で、健全性を確認するため、本日から当該ウェブサイト・アプリを一時的に停止いたしました。再開時期については、ご利用されるお客さまの安全が確認できた段階でお知らせいたします。また、対象のお客さまには、個別にこのたびの事情を説明しお詫びするとともに、注意喚起をご案内させていただいております。現時点で、流出した情報が悪用された事実は確認されておりません。なお、このたびの事象につきましては、本日、警視庁に報告しております。 

５．再発防止第三者によるシステム調査結果を踏まえ、セキュリティ対策の徹底を行い、再発防止を図ってまいります。 

６．お客さまへのお願い登録されたメールアドレスへの不審なメールについては、開封を控えるなどご注意いただきますようお願い申し上げます。弊社といたしましては、お客さま情報の保護を極めて重要な事項と認識しており、このたびの事態の発生を真摯に受け止め、再発防止に努めてまいります。このような事態となり、お客さまに大変なご迷惑、ご心配をおかけすることになりましたことを重ねてお詫び申し上げます。

iPhoneがSafariの個人データが中国企業のTencentへ

iPhoneがSafariの個人データが中国企業のTencentへ

iPhoneがSafariのデータを中国企業に送信していた可能性が浮上、Appleは否定
https://gigazine.net/news/20191015-apple-safe-browsing-china-tencent/

「設定」ー「Safari」ー「Safariとプライバシーについて」を選択。
Safariとプライバシーに下記の記述がある。
・SafariはWebサイトから算出された情報をGoogle Safe BrowsingおよびTencent Safe Browsingに送信し、
・あなたのIPアドレスも記録する場合があります。

送信しないようにするには。
「設定」ー「Safari」ー「詐欺Webサイトの警告」をオフにすると無効になります。

ファイルを送る

・ファイルの共有をワンタイムURLで可能なサービス。
無料で可能。
Firefox Send
https://send.firefox.com/

・オープンソースで利用可能。AWSで、AMIもあるので自社で利用可能。
ownCloud

ownCloud日本代理店公式サイト
https://owncloud.jp/

Rails環境下でのNew Relicの再起動

railsでは、gemからNewRelicをインストールしているので、Linuxコマンドでは再起動ができない。

New Relicのlogを切り替える時には、再起動するとログに追記される。

New Relicの再起動は、アプリケーションサーバ（Unicorn）を再起動するとできる。考えてみたら当たり前の事だが、うっかり忘れていると、どうしようと迷う。

AWS Client VPNが開始された

今まではVPNサーバを自前で立てていたいたので、早く日本で使えるようになると便利！

AWS およびオンプレミスのリソースに安全にアクセスできる AWS Client VPN を導入
https://aws.amazon.com/jp/about-aws/whats-new/2018/12/introducing-aws-client-vpn-to-securely-access-aws-and-on-premises-resources/

WordPressの投稿ステータスについて

WordPressの投稿に公開で、ステータスを下書きにしているとHTTPのスタータスが、
「HTTP/1.1 301 Moved Permanently」になる。

一度公開し、Googleのクローラーに登録されて、下書きにしていると、クローラーからリダイレクトエラーになるので注意が必要。

MacとvagrantとのNFSについて

vagrantからMacへのmountエラーの対処法。
MacでNFSを使用している場合に限る。

vagrantのディレクトリを移動する時には、Mac上で下記２つの作業が必要。

$ sudo vi /etc/exports
対象の行を削除しておく。

起動が、mountのエラーが発生したら、下記コマンドを実行。
vagrantをReloadする。

（ダメな場合は、下記を実行。）
$ nfsd status