電脳用務員usadii3の日常〜日々の雑記系blog
SiteGuard WP PluginというWordPressのプラグイン。これを入れりゃ万全という訳ではないが、セキュリティ対策の第一歩として万人に強くお勧めする。不正ログインの記録が残るのだが、これが尋常では無い数の不正ログイン試行が記録されている(^^;
SiteGurd WP Pluginはデフォルトのログインページを隠し、且つ、日本語による画像認証ログイン認証を必須と出来る。それでも、先述の通り不正ログインの試行があるって訳だ。何もしてないとどんだけ危険なのか、察して知るべし。。。
WEBLiFE* Serverは激お薦め【出来ない】極悪仕様。で書いたようにWordPressのデータ量が大きい場合には普通にはお手上げだ。FTPでWordpress Installディレクトリにアクセスさせても貰えないので容量の大きい画像だけFTPでダウンロードしてくる事も出来ず、PHPのバージョンを上げることも、PHP.iniすらも編集できず、データベースを弄る術もない。なので引越プラグインのDuplicatorは使えない。データが大きい場合にはこれまた引越プラグインのAll-in-One WP Migrationも容量で引っかかる。6500円程度の有料プランに登録すれば容量制限はなくなるが成功するかどうか解らないのに6500円は支払えない。八方ふさがりか?!
大丈夫。手間はかかるがBackWPupがある! 使い方などは「wordpress BackWPup 引越」とか「wordpress BackWPup 復元」等でググってください。出てきたサイトの説明が良くわからない場合は解るように勉強してからトライして下さい。もしくは解る人にやってもらって下さい。ここで説明して失敗しても私はなんの責任も取れないので説明しませんw
それだけだとアレなので、流れだけ・・・。例えば910MBものデータがあり、オリジナルドメインで、ドメインごとロリポップへ引っ越した時の流れ…
ムームードメインを利用していて、なんらかの理由で下記のようになってしまう場合。
この様な場合に「ムームーメールを利用中はムームーDNSカスタム設定を削除出来ません」とか、他社サーバに移行出来ない場合がある。では、と、ムームーメールを解除(解約)しようと思っても、そのボタンや案内やFAQはどこにもない。。。どぉすれば・・・。まさかムームーメールの契約が切れるまでどこにも移行出来ない???
これ、しばらく悩みました(^^; なんのことは無い、ので、結論をとっとと書きます。
ムームーメールで利用しているメールアカウントを全て削除すれば良い
これだけでした(^^; つまり、ムームーメールに契約しているのがダメなんではなく、ムームーメールに稼働中のメールアカウントがあるからダメって意味でした。契約自体は元々が安価なのでお金が戻ってきたりはしませんが、そんな事より他サービスに移行するのに引っかかるのが問題なので、これで解決(^^;
# ちゃんとマニュアルに書いといてくれよぉ(泣
BiND for WEBLiFEやLiVEやPhotoCINEMAなど魅力的な製品を出しているデジタルステージ。だが、WEBLiFE* Serverだけは何をどう考えてもお薦め出来ない。絶対に。困ること請け合いだ(苦笑)
デジタルステージの為、ユーザの為、双方の為に敢て言うが、どうもデジタルステージではサーバをきちんと開発・管理できるだけの技術者を抱えていない。そして状況を把握できていない。何かをやろうとするときには、他の安価で高機能なサーバ(例えばロリポップやX Server)では普通に出来ることがWEBLiFE* Serverではことごとく出来ない。サポートに連絡してみてもコンニャク問答必須だ。話が通じない。ざっとデメリットを上げる。
今まで良かったのに突然に、マルチファイルアップローダーだけが、ダメ。ブラウザアップローダーではOK。デバックモードでも何のエラーも吐かない。ググってみてヒットする状況とはどうも違う。。。php周りのエラーとかパーミッションエラーでもない。容量でもない。WordpressをInstallしたディレクトリ直下の.htaccessの問題でもない。iPhoneやiPadのWordpress.appではアップロードできる。でもPC/Macからだとダメ。どのブラウザでもダメ。
・・・。何なんだー(T_T
タイミング的に見てみると、アップロードが始まる前にはじかれている感じ・・・。やっぱ.htaccessが怪しいか?!
Transmit(FTPクライアント)を起動してWordpressをInstallしてあるディレクトリをくまなくチェック。
ん!?
wp-contentディレクトリ直下に何で設置したのか覚えていない.htaccessがあるな・・・。何で設置したんだっけ(^^;;; 記述を見ても思い出せないし、なくて良さそうな記述。とりあえず、外す・・・。
ほっ。。。なおった(^^;;; 何かで以前に設置した.htaccessがそれまでは良かったがアップデートで引っかかった、的な事かな? ま、ついでにデータベース最適化もしたし、治ったから良しとしよう(^^;;; 疲れた(^^;;;
丸一日格闘してやっと、解決したので、自分的メモ。
クライアントのWebサーバーを引っ越しする作業があって、以前のWordPressサイト統計情報を引き継ぐために、新サーバーでJetPackの連携し直しをしようとしたら・・・。
WordPress.comへのログイン・・・OK
自身のWordPressサイトへのログイン・・・エラー
これが出て、ログインも出来ず、進まない。。。
iPhone用 WordPress Appのプッシュ通知が(たまにあるんですが)現在プッシュ通知がされず、コメントに気がつくのに遅れます。尾のため、返信が遅れぎみになったりしますが、わざとではありませんので、お許し下さい m(__)m
あれ、先ほど突然に直ったような・・・(^^;;;
iOS7にした辺りからiPhoneとiPad miniにInstallしていたWordPress+JetPackのプッシュ通知が来なくなってて「はて?」と思い、Installし直してみたり、設定を1からし直してみたり、iOSの通知センターの設定を変えて見たりしたのだが、駄目。iOS7で仕様が変わって駄目になったか?とかも思ってググって見ても私と同じ症状の方はヒットせず。ってことは私のどこかがおかしいのだな。。。
てな感じで、iOS7が出てからずーっと原因を探ってましたがやぁっと解りました。ウチではロリポップサーバーを使っているんですが、なんの事は無い、原因はiOS7でもiPhone/iPad側の設定でもなく、WordPressでもなく、JetPackでもなく、サーバーでした。
例の不正アクセス騒ぎの後、WAFがONがデフォルトになっていた模様。そういえばiOS7が出たタイミングとロリポップ不正アクセス事件のタイミングって同時期ぐらいでしたもんね(^^;;; WAF、良いんだが、JetPackや連携する類いのものが使えなくなるんですよね(^^;
WAFをOFFにしたら通知が来るように。ほっ。。。
同じくロリポップでWordPressを使っている方の為に、記して置きます。
被害範囲が大きかった今回の不正アクセス。利用者のうちの超簡単なIDとパスワードにしている誰かから侵入し、WordPressの重要設定ファイルwp-cnfig.phpを読みとり、データベースの情報を入手、同じデータベースを利用しているユーザに芋づる式に侵入、改変という事の様だ。
なのでWordPressを入れ替えてもデータベースをバックアップと差し替えても駄目、って事なわけね。
今後の対策としては兎に角wp-config.phpのパーミッションは400。WordPressのログインIDはデフォルトのAdminなんてのは絶対に駄目。別な管理者IDを作り、長いパスワードを設定した上でAdminは削除。
他に2つのプラグイン導入。
どんなものか興味を持った方はぜひググって自身で調べて欲しい。調べる事に意義がある。それとデータベースのバックアップは定期的に取る。これで完璧とは言えないがリスクはだいぶ減らせると思う。もっとセキュリティをあげたい場合には普段はWAFを有効にして設定の時にはSSLでの接続、という風に変更するのも良いかも知れない。
さて、今回の事で自身のところも含め色々とやってたんだが、ふと電脳-煩悩のMySQLのバージョンが5.1のままだが、最新のver.5.6が利用可能になっているのに今更ながら気が付いた。しかも最新のデータベースサーバはSSD採用だとぉ?! 調べてみると電脳-煩悩のは比較的初期のサーバ利用なので、色々と作業ついでにSSD採用のサーバ(とMySQL最新版)に移行しちゃおう、うん。
手順はざっと下記のとおり。
8/28日〜29日にかけてロリポップサーバーのWordPressを対象として大規模不正アクセスがあったようです・・・。その数、8438件!あまりが対象・・・。ひーっ!
ウチで管理しているのの内、3件で不正アクセスによる改変が確認されました(泣)
単にfileを差し替えれば良いってモンでも、バックアップのデータベースファイルを戻すだけでも無さそうです。ちょっとハマったので、復旧手順をザッとメモ。(少しでも脅威からのリスクを減らす為に設定の多くを手動でし直す事にしました。)
こんな感じでした。php.iniでアップロードファイルを20MBに設定すると16MBぐらいまでインポートファイルを扱えるので、それ以下ならphpMyAdminにてインポート出来ます。SQLファイルの必要なところだけ残してもそれ以上のファイルになってしまう場合にはフリーで配布されているbigdump.php(使い方やダウンロード先はググって下さい)を利用すれば良いでしょう。
もー、徹夜態勢で最善な復旧方法を探って作業してましたよぉ、もー・・・。ふぅ。。。(泣)
(しかし・・・こうやって復旧出来るスキルがない方はどうするんだろう???)