ブログメニュー

スポンサーリンク

上記の広告は、30日以上更新がないブログに表示されています。
新たに記事を投稿することで、広告を消すことができます。  

Posted by のらんば長崎運営事務局 at

2013年10月09日

諫早運動公園と白木峰と五家原岳

白木峰のコスモス2013

台風接近で昨日今日のおくんち後半2日分が明日10日に順延されちゃいましたねぇ。今はこんなに晴れてるけど。過去には大きな台風での被害が時折あっていましたが、うちの辺りはここ数年ハズレ台風ばかりで、今回は雨戸を閉め忘れ、防災意識が薄れていることを反省。


さて、数日前の休日、娘も連れて用事で出掛けたついでにどこかへ遊びに行こうということになりました。以前から行きたかった長崎歴史博物館の恐竜展は娘からあえなく却下。「それじゃあコスモスでも見に白木峰に」と思ったのですが、娘は諫早運動公園かのぞみ公園(多良見)に寄らなければ他のどこへも遊びに行きたがらない体質!? 
というわけで、まずは諫早運動公園に立ち寄ってから白木峰にコスモスを見に行ってきました。

五家原岳帰りに五家原岳のテレビアンテナがある山頂に登りました(もちろん車で)。ここに来るのは20年ぶりです。下界は気温が高くて汗をかくほどでしたが、五家原岳山頂は雲の中でひんやりしてました。ベンチフリークの娘は見つけたベンチにさっそく座ってご満悦。



  


Posted by いーじー at 12:35Comments(0)長崎探訪

2013年09月28日

日陰で風が吹くと気持ちが良い今日この頃

福田の海岸
数日前からきれいな海の近くで仕事してます。

思いのほか汚れます。

日頃の運動不足を痛感します。
  


Posted by いーじー at 04:47Comments(0)雑記帳

2013年09月24日

シュシュと武雄市立図書館で連休終わりっ

安近短で済ませてしまうことが多い近頃、
二度の連休もサクっと終わってしまいました。

シュシュのパン

娘がアイスを食べたいと言うので、
大村のシュシュに出かけ アイスとパンを食べて
その足で444号線をドライブしたついでに話題の武雄市立図書館へ。

最近なにかとシュシュでごまかしているような気もします。
いや。シュシュも美味しいんですけどネ。

次はハウステンボスのサイラーに行きたい。(って またパンか)  


Posted by いーじー at 22:17Comments(0)長崎探訪

2013年09月06日

格安は格安なりなのでしょうか、サーバー

先だってのロリポップ・WordPress大規模ハッキングから
まだ余韻冷めやらぬ日々です。

移転先のレンタルサーバーも探しているのですが、
一度ここまで格安に下げて設定してしまうと、
高いサーバーへの乗り換えはなかなか進まない。

エックスサーバーもよさそうですが、
ロリポップのロリポプランあたりの価格帯(月々300円前後)で
データベース1つ以上。
PHPも当然使えて、管理画面が使いやすい。

となるとなかなか容易に見つかりませんね。
月額1,000~2,000円くらいだとちょっとはましなようですけれどね。

















スポンサードリンク
スポーツ選手の外傷・障害の治療、トレーニングのご相談を承ります。長崎県佐世保市【大宮町整骨院】  


Posted by いーじー at 12:13Comments(0)ブログあれこれ

2013年09月03日

それでもワードプレスの利用をやめられないワケ





先月末のロリポップ・ワードプレス大規模ハッキングにおいて
当方のクライアント様サイトが
2つもハッキングされたことを前回の記事に書きましたが、
これら2つのサイトがハッキング前にどういう状態だったかを含めて

ワードプレスサイトはどのような状態にしておくべきか
自戒の覚書として記しておきます。

ハッキング以前、
2つのサイトはIDに「admin」は使用していませんでした。
ログインパスワードも「強」が表示される英数字混合。
英単語としての意味も持たせていません。

WordPress本体も最新バージョンにアップデート済みで、
搭載・利用するプラグインやテーマも最新状態でした。
また、使用していないプラグインは削除済みで
テーマも使っていないものは削除していました。
使用プラグインについてもデフォルトで搭載されがちな
「super cache」でさえ脆弱性の疑いありとして私は使っていませんでした。

configファイルのパーミションは404。


ただ、惜しむらくは
ブラウザから頻繁にphpファイルを加工するため
WAF(Webアプリケーションファイヤーウォール)の設定を無効化していたことと、
データベースの接頭語を「wp_」のままにしていたこと。


サーバー運営会社からはまだ今回の大規模ハッキングについての
明確な原因の公表はなされていません。されるのかもわかりませんが。



初めてのホームページを作ってから今月6日で14年が経過します。
その間様々なサーバーを利用しました。
自前の専用回線や専用サーバー、共用サーバー。

共用サーバーを利用している以上、
今回のような事象は避けられないのかもしれません。
それでもロリポップサーバーを使わざるをえないのは、
一番にコスト。

自社ホームページが財産であるとしても
サーバーをどこまでの機能とコストで落ち着かせるのか。
例えて言うと、
「おたくの会社の金庫は耐火金庫ですか?」
と言う感じ。


数年前までは、サーバー維持費に「年間数万円以上」というのが常識でしたが
昨今の世情や景気を鑑みると「年間数千円で済むものならば」というのも
仕方がないかと。(ショップ機能以外の話です)

格安の共用サーバーで有名どころと言うと、
ロリポップ、ハッスル、さくら、ドメインキング、FC2 Liteなど
月300~500円のところから、もっと安いものもあるようです。


少し話がそれましたが、
例えばWordPressではなく、BaserCMSなどを使っていれば
今回のようなハッキングには遭わなくて済んだのか。

サイト単体で言えばそうでしょう。
しかし、サーバーが共有である以上、直接でなくとも
横道から侵入されちゃう危険性はあるようですね。

そもそも今回のハッキングはWordPressの問題ではなくて
サーバー内の設定の問題だという指摘もあるようですし。

はぁ悩ましい。
それでもWordPressを使い続ける理由はなんでしょう。
というのがタイトルでしたね。

私が初めて触れたブログは、実はレンタルブログでも
WordPressでもなく、MovableTypeでした。

動的なWordPressに対して、静的と表現されることが多いMovableType。
プログラムにそんなに詳しいわけでないのですが、
固定のページに対して記事を書きだすため、更新などでの構築(再構築)が
めんどうで、レンタルブログに乗り換えました。
その後WordPressへ。

WordPressの良さは、
あくまでも私見ですが、
利用価値の高いプラグインの多さと
マニュアル・解説・書籍の豊富さ、でしょう。

「この部分をこうしたいんだけど」と思って検索すると
大抵はヒットする。
例えば、コンタクトフォームやフックをかける、プラグインの豊富さ等々。

それらを駆使しつつデザインを盛り込むと、制作費用がかさむので
どシンプルなテンプレート(テーマ)を提供していますけどネ。
コンテンツの量が莫大であれば、デザインは的確なナビゲーションのみでもいいのかな、と。
(※コンテンツの質は、量が蓄積されれば自ずと上がっていきます。)

というわけで、
WordPressを使い続けるのでした。
サーバーは…。



! おっと書き忘れるところでした。
WordPressをお使いの初心者の方は以下に注意。
※特にロリポップサーバーご利用の方。

▲ログインユーザー名を「admin」にしない。
▲ログインパスワードは意味を成さない英数字混合で「強」になるように。
▲WordPress本体は常に最新バージョンにする。
▲使っていないテーマは削除しておく。
▲使っていないプラグインは削除しておく。
▲プラグインも常に最新バージョンに。
▲あやしいプラグインは使わない。
▲FTP接続ツールで、wp-config.phpファイルのアクセス権限(パーミッション)を
「400」にする。
▲FTPツールで、.htaccessファイルのパーミッションを「604」にする。
▲ロリポップサーバーをお使いの方は、サーバー管理画面の
WebツールからWAF設定を「有効」にする。
▲WordPressダッシュボードのエクスポートからバックアップを頻繁に取っておく。

これくらいしておけば、ハッキングされたりサイトそのものが復活できないほど
改ざんされても、自分のサイトだけはなんとか復旧できるし諦めもつくでしょう。

改ざん後のサイトがよそ様に悪さするようなものだと
ちょっとやっかいですが、それでも抗弁は立つでしょう。か?!



  


Posted by いーじー at 01:29Comments(0)ブログあれこれ

2013年09月02日

ロリポップに設置したワードプレスがハックされた事後処理の覚書





うちのメイン商材は、WordPressを利用した簡易CMSブログ型ホームページ。
しかも2年ほど前から推奨サーバーをロリポップにしていたので
今回のハッキング騒動は大打撃である。
なにせ他サーバーからロリポップへの乗り換えが
全てのクライアント様で完了していたし、
WordPressで制作したサイトが20件近くあるのだから。

というか実際にクライアント様サイトが
ハッキングされてしまった。2件も。
基本的な対処策を施していたにもかかわらずだ。

ロリポップ側の発表が信頼できるものかどうかは別として
WordPressそのものやプラグインの脆弱性をついたのは発端に過ぎず、
サーバー内のファイル設定に起因して、
横断的かつ爆発的に被害が拡大した様相である。

なんと8400サイト超のハッキングが確認されたようだ。

起こってしまったことは仕方がない。
とにかく対処しなければ! という月末でした、8月末は。


応急措置の覚書

①文字コードを訂正
本来UTF-8という文字コードのはずが、
UTF-7に改ざんされているので、その訂正。
設定>表示設定>UTF-7→UTF-8へ。
(ウィジェットにスクリプトを書き込むのにクロスサイトスクリプティングで注入するためか?)

②タイトルと説明文を訂正
設定>サイト名と説明文を修正。

訂正前にエクスポート作業をすると取得(ダウンロード)できるxmlファイルがハッキングされた表示のままなので、上記訂正をした後、エクスポートする。

③ウィジェットに読み込みエラーを誘うスクリプトが埋めてあるので削除する。
全てのウィジェットが改ざんされている模様。

④ロリポップサーバーの管理画面のWebツールからWAF(Webアプリケーションファイヤーウォール)設定が有効化になっているかをチェックする。

⑤wp-config.phpファイルのパーミションを400にする。
.htaccessのパーミションを604にする。

⑥WordPressのログインIDとパスワードを変更する。
IDは変更できないので、新たにユーザーを作って記事移譲。

⑦WordPressのデータベースのパスワードを変更し、
wp-config.php内のデータベースパスワードも合わせて変更する。

この時点で、⑤のwo-confid.phpと⑦については、ロリポップ側で作業が成されたようなので割愛。


とは言え、ハッキングで侵入されたのは気持ちが悪いので、
領域を変えてWordPressそのもののインストールをやり直したいところだ。



  


Posted by いーじー at 22:55Comments(0)ブログあれこれ

2013年07月30日

半沢直樹に負けるな!

なんだか意味不明なタイトルですが、
「半沢直樹」、
ブームですね。

なにやら視聴率が凄いらしいとか。

作者の池井戸潤氏はバブル期に銀行に入行されているようですが、
私の入行はその数年後です。
われわれの入行時には「拘束」なる新入社員囲い込み行為はなくなっていました。
私の1年前までは普通に行われていたようですけどネ。

「拘束」とは、就職氷河期の学生さんには申し訳ないですが、
学生への新入社員勧誘が解禁になる時期に
遊園地で遊行付きの宿泊旅行に招待して拘束する、とか。
高級な食事付き宿泊旅行に連れて行き拘束する、とか。
そんな時代があったとデス。

もちろん、世の中も右肩上がり(だろうと予測されて/安易な予測ですが)で、
みんなみんなまさにバブリーな時代でしたから仕方がないですネ。

さて、
話を半沢直樹に戻しますと、
私は一度も観ていないのですが、
半沢直樹を演じる堺雅人氏の妻役が
上戸彩というところに、どうも合点がいかない。
明るいキャラという設定だから合っていると言えば合っているのでしょう。
けれど、と言うか、いや、
上戸彩は好きです。むしろ大好きです。

だけども、
やっぱり菅野美穂を見たかった。
いや、そんな設定はないです、絶対。
けどネ。見たかったんです。
まだドラマ一回も観てないんですけどネ。  


Posted by いーじー at 02:06Comments(0)雑記帳