作成者別アーカイブ: kuma2515

【お詫び】Facebookおよび本ブログの不適切・不快な発言について

表題の件につきまして下記経緯により、不適切な発言があったことをお詫び申し上げます。
制作者様ならびに閲覧者様、Facebookでいいね!をいただいていたみなさま、申し訳ございませんでした。

■経緯

プラグイン「HeadCleaner」につきまして問題のない挙動であるにも関わらず、不十分・不良動作であるような発言および記事を記載しました。

またFacebookにて同様に不十分・不良動作を起こすかのような発言を行いました。

本件に関しては、同日深夜(私が気づいたのは明朝)、Facebook上のメッセージにてご指摘があり、
早朝の限られた時間のため、該当発言を削除、および該当記事を下書き状態に戻しました。

また直接の記事については上記の方から別の指摘がありましたが長期に渡り記事自体をメンテナンスせずにいました。

■現在の対応

該当記事については現在推敲中となります。
また12/15深夜に追加した記事についても似たような性質を持つ記事であることから、現状は記事を取り下げております。

該当2記事については細心の注意を払い、十分な推敲の後に再掲する予定です。

今後ともよろしくお願いいたします。

All in SEO Packでカスタム投稿タイプのアーカイブのタイトルタグが予想と違う動きをした

昔のWebサイトにAll in One SEO Packを入れていたのですが、先日そのWebサイトにアーカイブページを独自に作成しました。

前回「ContactForm7でGoogleAnalyticsのコンバージョン設定ができなかった(wp-footerはちゃんとしてる)」で、プラグインどうしが正常に動きあった結果、予想していたカスタマイズができなくなっていた現象が起きていました。

今回もコレと同じような現象があったのでご報告までに。

続きを読む

さくらVPS設定記録 1.鍵認証~rootログイン禁止まわり

さくらVPSの設定をあーでもないこーでもないと調べながらやっているんですが、

各ブログなどで表記されている内容と
違った挙動を起こしたり違う文字が表記されるなど苦戦中。

多分、OSのバージョンの違い?とかなのかな?
そういうのも原因としてあるのかも知れない。

とにかく、せめてうまくいったところだけでも記録を取ることにしました。

続きを読む

WordBench大阪 10月

大阪遠征第二弾!(第一弾は7月だけどワークショップだったので掲載なし)

セキュリティのお話を聞いてきました!
以下、毎度恒例の自分にしか分からないメモ。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

セキュリティのお話。

攻撃・・・
2001年ごろ:個人 → 名声、脆弱制指摘
現在:プロ、組織犯罪 金銭、情報入手、サービス妨害

改ざんされてもウィルス判定されないコトが多い。
被害がわかるまで時間がかかる。

Webサイトの20%がWordPress → Wordpressの攻撃コードを書けば
1/5は当たる。

eコマースのプラグインの多くに脆弱制が認められている。

防御・・・
サイトを守る
Webサイト防御・・・FTPの盗用防止、OS,AR,FP,Javaアップデートなど
セキュアプロトコルの使用、sshの使用
WAFの使用

WordPressの防御・・・Admin未使用、IDPASSを一緒にしない
本体、プラグインをアップデート
野良プラグイン、野良テーマの使用は控える
更新用のIDPASSの盗用防止
ワンタイムパスワードの使用など

GoogeWebマスターツールの使用
悪意のあるソフトウェアがあると通知がくる。Fetch As Googleツールで削除済みかどうか確認可能。
セーフブラウジング診断ページを使用※あくまでGoogle固有判断

攻撃を受けて復旧することになったら・・・

信頼が置けないデータは使用しない
攻撃を受けた時刻を割り出す→それより前の時間のデータを使う

重要・・・WordPress管理画面はインデックスされる。

 

【さくらさん】
攻撃されるポイント

メールアカウント、FTP、CMS
→SPAM送信の踏み台(受信メールサーバーの受信拒否)
→ファイル改ざん

【ファーストサーバー】
JVN、IPA.go.jpなどでミドルウェアのぜい弱性情報を入手しよう!

共有サーバーにもいろいろある。
OSのみ共有するパターンもあれば、ミドルウェアも共有するパターンもある。
ミドルウェアまで共有すると安くなるが、脆弱性が上がる。

・意外と多い二度目の改ざん
表示だけ直してもほかのディレクトリに改ざんスクリプトがおかれている。
バックアップにもスクリプトがおかれている。 WordPress領域以外もチェック。サーバー領域は一度全削除すること。

【宮内さん】

WPのインストール
→簡単インストールをつかおう!
PHPがCGI版かDSO版どっち?suEXEがどうこう・・・。
これを正しく知らないと本当は手動インストールすべきじゃない!パーミッションが正しく設定できないから。
ということで、簡単インストール推奨。

プラグインやテーマ
→公式ディレクトリにあるものを使おう

プラグインやテーマをえらぶとき、アップデートの日付を確認しましょう。
外部評価も見ましょう。

キャッシュ系・バックアップ系のプラグインは無効化後も
キャッシュ、バックアップフォルダが残ることがきわめて多い。
その結果、GoogleにINDEXされることが多く、そこから抜かれることもある。

【石田さん】
・テーブルPREFIXをそのままにしない。
・プラグインは使わないなら削除。攻撃の足がかりにされる可能性がある。
・wp-config.phpはパーミッション400か404
・運用がはじまったらwp-admin/install.php削除(しちゃだめなのかも知れないけど)

ーーーーーーーーーーーーーーーーーーーーー

座談会

テーブルPREFIXを換える件
→そもそもWPを外すとよいかも? WPの文字列を狙ってるっぽい。
ただ、都市伝説的な感覚もある? うん? 意味ないっぽい?w
Webサーバー乗っ取られたら何でもされちゃうから、あんま効果的ではないかも。

バージョンを隠す
→そもそも秘匿に寄るセキュリティ、これはあまり意味がない説が強い。
ただし、IDをAdminにするのだけはダメ。創始者さんも変えて、って言ってる。

wp-config.phpは400か404。これってほかに何か設定あるのん?
→wp-config.php自体は、400にして動かないなら、そんなサーバー解約しちまえ!w
→400で動くのであれば、777にしてもすぐにはトラブらない。
→ほかのファイルは? ・・・あんまだいじょうぶw
→大手さんはサーバー会社と別にセキュリティ会社とも組んでいる。
わざとサーバーに攻撃をかけてチェックしたり。サーバー会社はタダでチェックしてくれてありがとうw

Exploit Scannerという改ざんチェックプラグインもある
(※むしろこれにお世話になる状況になったら結構いたい)
悪意のあるソースコードは、画像形式になっていたりする。
無理くりテキストエディタでその画像をひらくと悪意のあるソースがぎっしり、とか。
PHPでその画像をrequireするというのはありえないので、そういうコードが
でたりする。

共有SSL
これ単体をONにすれば解決する訳ではない。WAFと組み合わせるなど
考えなければならない。
お客様(ユーザー)に対して共有SSLのメールフォームを使わせたりするのは
「逆にまずい」。
共有SSLの場合、後ろが「sakura.ne.jp」などになっている。
ま・ず、ドメインを統一するために共有SSLを使うな。ドメインを統一することを
念頭に入れるほうが啓蒙的に重要。

ちなみに、海外では共有SSLという概念が、サービスがない。

なぜSSLを使うか?なぜ暗号化するのか?
→あくまでも管理画面の内容を暗号化する。いわゆるサーバーコンパネなど。

PHPMyAdminは最近脆弱性がおおい。
マネージド型であれば比較的攻撃が少ない場合もある。

公式テーマ「hinagata」つかってあげてw

Outlook.comを使って独自ドメインのメールを使えるようにしてみた【鉄王さん補足版】

GoogleAppsを使って独自ドメインのメールを紐付けている人は多くいると思いますがー。

GoogleApps、有料なんですよね。
どうして無料のころにアカウント取っておかなかったのか…悔やまれますわー。

ところがどっこい、何とMicrosoftが提供するOutlook.comからも
同じように独自ドメインのメールを使うことができるようになるサービスが出たと聞いて、
早速試してみました!

基本的な流れは鉄王さんのブログ
【Google Apps(無償版)難民救済企画】Outlook.comで独自ドメインメールを無料運用してみたよ(Gmailへの転送もOK)」
をご参照ください。

続きを読む

ContactForm7でGoogleAnalyticsのコンバージョン設定ができなかった(wp-footerはちゃんとしてる)

またのをひとつ解決したのでご報告ブログパピコです。

普通に問題ない状態であれば、 http://bizvektor.com/plugins/contactform7/ こちらの設定で完了するハズです! (石川さん拝借しますよ!w)

■クライアントからの要望 ContactForm7での問い合わせ完了に、GoogleAnaliticsのCVを設定する。

■トラブル いろいろ検索をすると、on_sent_ok:~~~~~~というフックに思しきものを 「その他の設定」に入れて、対応するCV設定を行う。 設定どおりにいくとCVがついている。

ハズだけど、つかない。 続きを読む

ぎゃー、助けてー!一般設定の「サイトのタイトル」に日本語が打てないー!

もうね、そのまんまです。
現在進行形で分からない状態なので、ついにフォーラムにまで初投稿しました。

■投稿したフォーラム記事
http://ja.forums.wordpress.org/topic/24893?replies=2

うーん、決して予断を許されない状況なのですが、
やっぱりすぐにはレスなんてつきませんよね…。
しかし、識者の方々に頼るしかない状況になっているので、引き続き待ちますか…(TДT)

また、解決しましたら報告します!

LESSのコンパイラ、「Koala」に変更しました

今までWinlessを使っていたのですが、
LESSでコンパイルされたCSSファイルの見た目を調整する」で書いたように、
コンパイル後にちょこちょこと書き換えないといけないわけです。

で、Winlessが一番キツイなー、と思ったのが、
「コメントアウトのテキストを一切コンパイルできない」
という点です。
※もしかしたら設定でできるようになるのかも知れませんが。

続きを読む

Advanced Custom Fieldsのアドオンをいれてみた(設置編)

はいっ、前回に続いて今度はAdvanced Custom Fieldsのアドオン「設置編」です。

自分は設置してみたら、一回失敗しました(笑)。
なんでやねん、ってツッコミがいっぱい入りそうですが、
失敗したモンは失敗したんだもん(・ε・)

続きを読む

Advanced Custom Fieldsのアドオンをいれてみた(購入編)

最近有名ですね。デックの山田さんもこのアドオンを使っているとのこと。
Advanced Custom Fields: Repeater Field
Advanced Custom Fieldsに、同一ページ内で一定のカスタムフィールドを繰り返し使用するときに 使うアドオンです。25㌦。 アベノミクスの影響で日本円に直すとちょっとお値段があがっちゃいました。残念。 とはいえ、どの記事を見ても、山田さんのお話を聞いていても便利さは抜群のはずなんで、 購入しました。 続きを読む