Twenty Fourteen 1.1、Twenty Thirteen 1.2、Twenty Twelve 1.4と最近WordPressテーマのバージョンアップがありました。
バージョンアップすると、基本的にphpやcssを直接改造した箇所は全部なくなります。まぁ当然なんですが、現行使っているテーマを不用意にバージョンアップすると困ったことになる場合があるのでご注意ください。
改造でなくウィジェットなどからの設定などはそのまま引き継ぎますが、基本的にテーマを入れ替えたときに起こる問題と同じことが起こります。
分かってやってたつもりでしたが、Google Analyticsなどのトラッキングコードもです。これをすっかり見落としてました!
やらかしたー!
【追記】こういうことがあるので、めんどくさがらずにちゃんと「小テーマ」を作ってカスタマイズすべきでしたね。反省~。
WordPressは使い勝手も良く、世界的に人気があるため、攻撃を受けやすいツールでもあります。そこで、初期状態のまま置いておくのではなく、セキュリティをいくつか強化しておいた方が良いところがあります。
しかし、何事もメリットデメリットがあります。あまりにガチガチに堅めすぎると、運用の手間が増えてしまうという問題も起こります。
そこで、今回は簡単かつ手間があまり増えることのない対策をいくつかご紹介。
昨年秋、ロリポップやinterQのサーバー群が、クラッカーの不正アクセスで乗っ取られ、改ざんを受けたのが記憶に新しいところです。かなりの数の被害が出たようです。
あの攻撃に関しては、ファイルパーミッション変更をやっておくだけでも多くが防げるような内容だったので、少なくともこれを確認し、必要なら変更しておくことをお奨めします。
主にIPやホストによるサイトアクセス制限を設定するファイル。他の機能にもありますが詳細は割愛。
パーミッションは「604」に。
多くのレンタルサーバーでは元々そう設定にされてることが多いかと思いますが、一部なってないこともあるようですので、その場合は変更を。
WordPressが使っているデータベースへアクセスするための設定などが入っているファイルです。このファイルをクラッカーに触られますと、最悪乗っ取られます。
パーミッションは「404」か「400」にします。
「400」の方がより堅牢ですが、実行時にエラーを起こす可能性も多少あるようなので、不安な場合は「404」で。
ロリポップの事件では、このパーミッションのデフォルトが「644」になっていたために、多くの被害が出ました。
パーミッションの変更方法については、各レンタルサーバーのヘルプか、FTPクライアントの使い方を見てください。
その名の通り、非常にシンプルな不正ログイン対策プラグインです。パーミッション変更が裏口対策とすると、こちらは正面玄関(ログイン画面)に対する対策ですね。
同一IPから短時間に複数回ログイン失敗すると、一定時間ログインできなくなるというものです。例えば、5回連続でログイン失敗すると2時間ログイン動作自体を不可(ロックダウン)にする等。この回数と時間は設定することできます。
これによって、ブルートフォースアタック(総当たり攻撃)などを防ぐことができます。
ただし、あまり厳しい設定にすると、自分がパスワードを忘れて、何度か打ち直してるうちに、ロックダウンされてしまうことがあるので、一応、ご注意(会社のひとがやらかしたことが)。
ダッシュボードの「ユーザー」画面から「ログイン履歴」を見ることができるようになります。ログイン時間、ログインIP、ユーザーエージェントを記録します。またログインエラーを起こした場合はそのログも。
こちらは直接の対策ではなく記録を取るものです。
同じ所から何度も不審なアクセスがあった場合に.htaccessで遮断するときの情報収集などに使います。ブルートフォースアタックなどがあった場合に履歴を見ることができるようになります。
ちなみに「狂骨」というのは妖怪の名前だそうです。
こちらはセキュリティ対策というよりは、コメントスパム対策です。
ですが、このプラグインは、スパム判定された投稿者のIPが記録されるので、攻撃者と併せてブロックするための情報を取れるというのが大きいです。
(私はあまり.htaccessでブロックしすぎるのも好きではないのですが、
海外からのスパムや攻撃も多いので、多少はやむなし)
日本語が1文字も入っていないコメントをスルーしたり、ダミー書き込み画面を生成する機能もあり、セキュリティ対策のみならず優秀なプラグインです(人間には見えないが、スパムロボットにはあるように見えるフォームを作ります)。
ちなみに日本製。
Google Adsenseの「収益の最適化」で、Wordpress の /wp-admin/customize.php に対して、クロールエラーが出ました。
エラー内容
robot.txt によって拒否
場所
http://(中略)/wp-admin/customize.php
エラー文章
「Google クローラがページにアクセスできなかったため、コンテンツを識別して広告を表示することができませんでした。クローラがコンテンツにアクセスできないと広告は表示されないため、収益と一致率が低下します。[修正方法] のリンクに従ってエラーを修正してください。」
http://(中略)/wp-admin/ は、wordpressのログイン画面や管理画面などの部分です。
外から見る内容には関わりない箇所のはずなので、robots.txtでクローラーアクセス不許可にしてあったんですよね。(Adsenceの表記は「robot.txt」になってますが、正しくは「robots.txt」のはず。)
詳細は→過去記事『robots.txtでやらかした!』で。
この箇所がなぜ必要なのか分かりませんが、robots.txtでこの部分だけクロール許可しておきました。
Disallow: /*/wp-admin/ Allow: /*/wp-admin/customize.php
これで大丈夫だと思うのですが、どうなんでしょ。
【追記】 対策後しばらくして、クロールエラーは消えてました。
WordPressデフォルトで入ってるテーマの中でもシンプルで使いやすい『Twenty Fourteen』ですが、色のカスタマイズが少々手間です。
最近、Twenty Fourteenのバージョンアップがありました(1.1)(Twenty Fourteenに限らずデフォルトで入ってるテーマ他2つもですが)。バージョンアップしたら、この色のカスタマイズ箇所がデフォルトに戻ってしまいます。
そんなわけで、もう1度変更することになったので、手順を書いておきます。
方法としては単純。『style.css』を編集するだけです。しかし、変更箇所が多いです。緑色系統の色が3種類設定してありまして……
#24890d
#41a62a
#55d737
となっています。
この色を変えたい場合は、FTPで『style.css』ファイル自体をダウンロードして、この3色をテキストエディタ(Sakuraエディタなど)で好きな色にまとめて一括置換するのが楽でしょうか。
ヴァージョンアップによって以下の方法は現在使えなくなってる可能性があります。
WordPressで、お問い合わせフォームを作成するときの定番プラグイン『Contact Form 7』。
たいへん便利なプラグインですが、WordPressをインストールしてるサーバーによっては、メール送信先を他のサーバーに設定できないことがあります。
例えばSakuraサーバーならばSakuraのメールアドレスに送ることはできるのですが、Yahoo!のメールアドレスには送信できない等。
たとえ『Contact Form 7』のフォーム送信で「あなたのメッセージは送信されました。ありがとうございました。」のコメントが表示されていても送信されていないことがありますので、必ず確認しておきましょう。
そういう場合は、『WP Mail SMTP』プラグインを使って、GmailのSMTPサーバを使って解決します。
『WP Mail SMTP』をインストールして設定します。
「From Email」と「From Name」は省略可能です(WordPressで設定したデフォルトのメールアドレスになります。差出人はWordPress)。
以下
送信テストもできますので、ちゃんと送信できてるか確認すれば完了です。
Internet Explorerの脆弱性が見つかったということは、Internet ExplorerのHTML レンダリングエンジン(Trident)を使ってるブラウザにも影響がありそうです。
具体的には私の使ってるブラウザですと、Windows版のSleipnir4やLunascape6がこれにあたります。ともにレンダリングエンジンの切り替えはできるのですが、Lunascape6の場合、Trident以外のエンジンはバージョンが古すぎるという別の問題もありまして、対応が面倒です。
パソコンが1台ならば、単純にTridentを使っていないChromeやFirefoxを使えばいいことなんですが、自宅と会社すべてのパソコンの設定をするのもなかなかに面倒です。
そんなわけで、Tridentを使いたい場合は、以下の記事にある対策をするのが良さそうです。
http://japan.cnet.com/news/service/35047268/
「Internet Explorer」の脆弱性、日本人ユーザーが対策ソフト公開(CNET Japan)
リンク先はしばらく広告がでますが、しばらくしたら切り替わるようです
皆様は、どこの検索サイトを使ってらっしゃるでしょうか?
といっても日本では、おそらくほとんどの方がYahoo!かGoogleのどちらかだと思います(正確にはYahoo! JAPAN とアメリカのYahooは別会社ですが、まぁここでは日本のってことで以下省略)。
私はGoogleを使うことが多いですが、Yahoo!を使うこともあります。
特に使い分けてることは少なくて、単にブラウザの検索窓の設定で両方になってしまっています。ブラウザは、主にChrome、Firefox、Sleipnir4、Lunascape6と複数使っています。
なんでそんなにいっぱいブラウザを使ってるのかは別の機会にしまして、複数のブラウザを使っていると、細かい設定がめんどうなんですよね。自宅と会社、またPC以外でもタブレットなどなど、数も多くなります。
そんなわけで、各ブラウザの検索窓が基本デフォルトのままなのです。
と前置きが長くなりました。
そこで「Yahoo!で検索してGoogleを呼び出したい」ことがあります。
例えば、私は地図を見たいときははGoogleのがわかりやすいんですよね。こんなときに、Yahoo!からふつうに「Google」と打てばもちろん検索結果の1番上に出てくるわけですが……
これを別の言葉でも呼び出す方法をご紹介。
こんなときに「いいえ」で検索しますと、今は、Yahoo!が1番目、Googleが2番目に出てきます。理由をご存じないと不思議な検索結果ですが、出てきます。
タイプするときに、「iie」でいいので3文字! 「Google」とふつうに打つより早いです!(大した差じゃねーよって?(笑))
他にもこのような魔法の言葉がありまして、
あら、前はYahoo!、Googleが1番2番だったと思うのですが、ちょっと順位が下がりましたね。でもどちらも検索上位のままです。「出口」なんて言葉でも、同じような検索結果になります。
さてでは、なんでまた「いいえ」「出口」「LEAVE」なんて言葉で検索すると、Yahoo!やGoogleが上位に並ぶのでしょうか?
Yahoo!もGoogleもこんな内容のことは特に書いてませんよね(もしかしたらYahoo!の奥の方にあったりするかもしれませんが、少なくとも重要ではなさそうです)。
検索エンジンの仕組みをご存じの方はさっきの魔法の言葉の取り合わせで、ピンと来た方もいるかもしれません。
Yahoo!もGoogleも「リンク先のサイト」と「リンクに使ってる文字(アンカーテキスト)」を関連づけて検索結果を作っているのです。
ということは「いいえ」「出口」と書かれたリンクからYahoo!やGoogleにたくさんのリンクがされているということですね(もちろんそれだけで全て決まってるわけではないですけども)。
さて、このあたりで男性は答えが分かったかもしれません(笑)
そうですねアダルトサイトのトップページです。年齢認証。
例として「DMM」へのリンク置いときます。
そんなわけでもう1つ魔法の言葉
これで、Yahoo!からGoogleを呼び出すのもGoogleからYahoo!を呼び出すのも簡単になりますね!(「18歳未満」のがタイプ数多いけど)
と、それはともかくこの「魔法の言葉」ができてる原因は、検索エンジンの仕組み(とアダルトなサイト)ということですね。
結論のようなもの
なお、出口と言っても、どこかの変態とは関係ありません!(たぶん)
