Welcome to airkyon.com , enjoy your stay!

WordPressへの攻撃で、ロリポップ!からアクセス制限がかかる

2014年6月01日 - Posted by reibo - Inside [PC] Word Press   このエントリをはてなブックマークに追加このエントリをYahoo!ブックマークに追加
01 6月.

 レンタルサーバーはロリポップ!と契約しているのですが、この日、WordPressの管理ページにアクセスしようとしたところ…。
 いきなり、こんな画面が出現して驚かされました。

 キャプチャ画面

 そのリンク先には、以下のような案内が。

ロリポップ!はWordPressへの攻撃に対する検知・防御機能を導入しています。

WordPressに対する総当たり攻撃や辞書攻撃を検知した場合にWordPressダッシュボードへのログインができないよう、弊社側で『.htaccess』によるログインページ(wp-login.php)へのアクセス制限を実施しております。
その場合、あわせてご契約の登録メールアドレス宛に通知いたします。
アクセス制限を実施することで、WordPressのダッシュボードへ不正にログインされサイトが改ざんされるのを防ぐことができます。

 また、こんなメールも届いていました。

(抜粋引用)

平素よりロリポップ!をご利用いただき、誠にありがとうございます。

この度、「****」のご契約で利用されているWordPress の wp-login.php に対し、複数回のログイン試行が確認されました。
アクセスの内容より、総当たり攻撃や辞書攻撃など、WordPress への不正なログインを試みるアクセスの可能性が高いと判断されたため、弊社側で .htaccess による wp-login.php へのアクセス制限を実施し、WordPress ダッシュボードへのログインができないよう対応を行っております。
お客様ご自身が WordPress にログインするため、.htaccess を編集しアクセス制限を解除する必要がございます。
お手数ですが、下記対策マニュアルをご確認いただき対策を行っていただきますようお願いいたします。

これからもより快適に、楽しくご利用いただけますよう機能追加やサービス向上に努めてまいります。
今後とも、ロリポップ!をどうぞよろしくお願いいたします。

 上記ページには自分の(その時点でアクセスしている)IPアドレスも表示されるので、該当IPアドレス以外からのアクセスを許可しないように、 [.htaccess] を書き換えることになります。
 猿でもわかるほど親切丁寧な解説が記載されているので(苦笑)、誰でも簡単に編集できるかと。
 こうした「初心者にも優しい」一面はロリポップ!ならではでしょうし、攻撃への防御対策が機能しているという安心感も得られるのですが、相変わらず激しいアタックにさらされているのだと実感させられ、ちょっと複雑…。

  Check  拍手する

WordPress 3.9のエディタに不具合

2014年5月03日 - Posted by reibo - Inside [PC] Word Press   このエントリをはてなブックマークに追加このエントリをYahoo!ブックマークに追加
03 5月.

 WordPressが最新のバージョン3.9(日本語版は2014年4月17日リリース)になって以来、怪現象に悩まされています。
 テキストエディタで「投稿の編集」や「新規投稿の追加」を行うと、「公開」関連のボタン類が半透明化し、押せなくなってしまうという現象。
 起動してしばらくは問題ないものの、作業を続けていくうち、いつの間にか上記の怪現象が現れる。ボタン類が点滅するように、押せたり押せなかったりを繰り返す場合も。まさに、怪現象(^^;;
 リロードすれば元通りになるのだけれど、自動的に下書き保存される内容は少し前のもの。
 最新の更新(修正)内容は消えてしまうので、不便で仕方ない。。。てか、集中しているときだとキレます(苦笑)。

 WordPress画面
 【↑ 画面右上の赤く囲った部分、「下書きとして保存」、「プレビュー」、「公開」という3つのボタンが押せなくなる】

 公式フォーラムの「バグ報告と提案」にも、「3.9になって、更新ボタンが押せなくなる時があります」というトピックが立てられていました。
 そちらにも書かれていた「プラグインをオフにしてみる」試みは、既に実行済み。全部ではなく、エディタ使用時に動くものだけですが…。それで直った方が羨ましく、トピ主さん同様にウチもダメです。
 ちなみに、ブラウザがComodo Dragonでも、Cyberfoxでも、現象には変わりなし。
 うーん、お手上げだ。
 今回の3.9はメジャーアップデートらしく、エディタ周りもかなりいじられているようです。原因不明な不具合が出るのは致し方ないとはいえ、早く修正バージョンを出して欲しいですねぇ。。。

  Check  拍手する

WordPressのバックアップ

2012年10月12日 - Posted by reibo - Inside [PC] Word Press   このエントリをはてなブックマークに追加このエントリをYahoo!ブックマークに追加
12 10月.

 今回のプラグイン更新→死亡で懲りたというのもあり、WordPressのバックアップを考えました。
 これまでは本体をバージョンアップする際に関連ファイルをエクスポートしていたぐらいで、面倒なデータベースのバックアップはついつい放置…。
 調べてみると、関連ファイルとデータベースをまとめて、しかも定期的にバックアップしてくれるプラグイン:BackWPupというものがあるんですね。
 なるほど、これは便利そう。
 使用法は、以下のサイトを参考にさせていただきました。

 ウチの場合、画像は別ディレクトリへのリンクでWordPress内には置いていないため、全体をバックアップしても大した容量ではありません。なので、同じレンタルサーバー内に新たなバックアップ用ディレクトリを作り、そこに自動バックアップするよう設定しました。上記の参考リンクではDropboxを利用していますが、そのへんの設定は全てスルー。

  • インストール後、設定画面の【Add New】で自分用の新たな設定を作る。
  • バックアップ設定名称を決める。
  • ファイルとデータベースの両方をバックアップするので、【Job Type】で「Database Backup」と「File Backup」をチェック。
  • 【Job Schedule】で自動バックアップの時刻を決める。「Activate scheduling」をチェック。
  • 【Backup File】でバックアップする際のファイル名を決める。
  • 全ファイルをバックアップするので、【Database Jobs】は全てチェック。
  • 自動バックアップされた際のお知らせメールを【Send log】で設定。
    • 必ずメールが届くようにするには、「Only send an e-mail if there are errors.」のチェックを外す。チェックされていると、バックアップに失敗した際にしかメールが届かない。
  • 【Backup to Folder】で、バックアップ先を指定する。
    • 入力欄の下に、WordPressのインストール先がフルパスで表示されているはず。それを参考に(コピペ)し、異なるディレクトリを指定する。新たなディレクトリを作ることになる場合、最初のバックアップ時に自動で作ってくれる。
  • 最後に、【Job Type】の「Save Changes」をクリック=設定完了。
  • 設定完了後に、バックアップ機能をテスト。
    • プラグイン画面からBackWPupを開くと、「Job Name」として先ほど作った自分用のバックアップ設定があるはず。そこにマウスを持っていき、「Run Now」をクリックするとバックアップが始まる。「100%」になればOK。

 以上で、特に悩まされるような項目はないはず。
 レンタルサーバー自体が死亡し、全データが吹っ飛ぶなんて異常事態になると対応できませんが、とりあえずの保険にはなりますね。
 WordPress本体をバージョンアップする際だけでも、ローカル環境への手動バックアップを面倒がらずにやっておけば完璧?

2013.03、追記

 BackWPupのバージョンが3.01以降になってから、バックアップ時に「No MySQLi extension found. Please install it.」とのエラーを吐き、正常動作しないようになってしまいました。
 調べてみると、文字通り「MySQLiがない」ことが問題らしく。バージョンアップしたBackWPupがデータベース取得処理にMySQLiを使うようになったものの、ロリポップにはMySQliが導入されていない=サーバーが動作要件を満たしていない、ということなのでしょう。

参照

 で、対処法は?
 ロリポップがMySQLi対応になってくれるまでは、BackWPupを旧バージョンに戻すしか手がないようで

  1. BackWPupを停止する。
  2. BackWPupの公式サイトに置かれている旧バージョンから、問題がないバージョンでは最新の2.1.17をダウンロードする。
  3. zipファイルを解凍して、全ファイルを手動で【/wp-content/plugins/backwpup】フォルダに上書きアップロード。
  4. 再び有効化する。
  5. 自分の環境の場合、これでOK。各種設定もそのまま引き継がれていました。

 同様に困ってしまい、ロリポップにMySQLi対応要望を出しているユーザーさんも多いようです。早く対応して欲しいですね。

 *さらに追記

 3月5日付けで、ロリポップがPHP5.4(5.4.12)に対応していました。
 PHPのバージョンをこの最新版5.4に上げると、MySQLiが使えるようになり、BackWPupも最新バージョンが問題なく動作するそうです。

参照

 セキュリティ的に不安も残るBackWPupの旧バージョンを使用するよりは、こちらのほうがいいですね。
 当方の環境でも、PHPを5.4に変更したところ問題なく動作しているようです。

  Check  拍手する

WordPressが死亡(原因はプラグインのBad Behavior)

2012年10月12日 - Posted by reibo - Inside [PC] Word Press   このエントリをはてなブックマークに追加このエントリをYahoo!ブックマークに追加
12 10月.

 WordPressでいつものように、何も考えずプラグインを更新すると…。

Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING, expecting ‘)’ in /***/***/wp-content/plugins/bad-behavior/bad-behavior/blacklist.inc.php on line 95

 とのエラーが出て、WordPress自体が表示不可能(設定画面にログインもできない)な状態に。。。
 複数のプラグインを同時に更新したので「エ? エ?」だったものの、エラーメッセージを見るとプラグイン:Bad Behaviorに問題があるらしい。
 ログインできない状態=WordPress上からは何もできないので、ftpで該当するblacklist.inc.phpをダウンロードし、調べてみる。
 問題の95行目に記載されているのは…。

“Perman Surfer”, // old and very broken harvester

 プログラム部分じゃないし? これでエラーだと言われても困る…。
 対処方法が不明なので、とりあえずftpからBad Behaviorを削除。これで表示、ログインとも可能になりました。
 WordPressのバージョンは最新の3.4.2で、Bad Behaviorの該当ページには「Compatible up to: 3.4.2」とある。つまり、WordPressのバージョンが問題なわけではない。
 んー?
 検索してみてもそれらしき情報は見つからず、お手上げ。
 (どなたかわかる方がいらしたら教えて下さい)
 まぁ、なければないで支障はないとも思われるプラグインなので、当面は削除したままにしておきます。

  Check  拍手する

スパムコメントと、(スパム的な?)FC2拍手への対策

2012年9月14日 - Posted by reibo - Inside [PC] Word Press   このエントリをはてなブックマークに追加このエントリをYahoo!ブックマークに追加
14 9月.

 スパムコメントにはあまり縁がなかった当ブログですが、ここ数ヶ月ほど、その急増に困っていました。
 コメントに画像認証を必要とするWordPress用プラグイン:SI CAPTCHA Anti-Spamは以前から導入していましたが、それを抜けてくるスパムコメントが急増して…。基本的にはAkismetで対応できるのですが、その数が多くなると、誤ってスパム扱いされたコメントがないかどうかの確認が大変なんですよね。やはり、スパムコメント自体を減らしたいと。

 そこでまず導入してみたのが、Throws SPAM Away
 「コメント内に日本語文字列が一つも存在しない場合、あたかも受け付けたように振る舞いながらも無視する」というプラグインで、評判も良さそうだったので。スパムコメントはほぼ100%、英文のものでしたしね。
 その際、同時にBad Behavior(HTTPリクエストを解析してスパムbotを排除するプラグイン)も導入。
 結果、英文のスパムコメントは皆無になりました。

 が、その代わりに現れたのが、無意味な日本語を羅列し(何かしらの文章のコピペ)、ナイキやアディダス、あるいはレイバンなどメジャーなブランド製品を騙る、偽サイトへのリンクを貼ったスパムコメント。次から次へと、よく考えるものだ。。。
 なのでさらに、複数の条件をミックスしてスパムコメントを排除するプラグイン:spam-byebyeを導入。
 そのまま様子を見てみたところ、いちおう止まったようです。

 スパムコメントなんて、リンクを誰もクリックしなければ自然消滅するものだとは思うのですが。騙される輩も多いのかなぁ? 「面白そうだからスパムとわかっていながらクリックしてみる」という、ひねくれた知人もいましたからねぇ。そーゆー人がいるから、なくならないのかも。。。

 ついでに、明らかにスパム的な、短時間に集中して為されるFC2拍手についても対策を。
 しかし、この拍手には何の意味があるのだろう…。
 BotによるFC2拍手の連打を防止するカスタマイズ方法さんページを参考に、拍手タグを書き換えてみました。
 こちらはしばらく様子見ですが、果たして。。。

  Check  拍手する