不正アクセスを防ぐプラグイン
wp-login.phpへのアクセス制限をして、外国からの不正アクセスは不可能になりましたが、日本国内からも少しあるので対応しました。
「CrazyBone」でIPアドレスを確認して、逆引きで先方のお名前やご住所がわかったものは然るべきところに通報。
そして、このIPアドレスを拒否するプラグイン「WP-BAN」を入れました。
拒否したいIPアドレスを設定して、試しにモバイルルータに接続したタブレットのIPアドレスを登録してみます。
そして、ログインページに行くと・・・
ちゃんと拒否されました。
wp-login.phpへのアクセス制限
海外からの不正アクセスの多さが、いくらログイン失敗しているとは言え気持ち悪いので、この際wp-login.phpへのアクセス制限をしてみました。
私以外の投稿はあり得ないし、海外出張の予定も今のところ無いので、日本以外からはアクセスできないようにしました。
↓こちらを参考にしました(感謝)
WordPressの管理画面へのアクセスを国内だけに制限する 【wp-admin】
日本国外からのアクセスを制限する.htaccess
本家が無くなると困るので記録します。
.htaccessファイルを作成します。
上記のサイトから「.htaccess」を自動作成してダウンロード。
「wp-login.php」だけを制限したいので、下記のように編集。
<Files wp-login.php>
order deny,allow
deny from allallow from 1.0.16.0/20
allow from 1.0.64.0/18
allow from 1.1.64.0/18(省略)
</Files>
wp-login.phpのあるフォルダにアップロード(パーミッションは共有サーバーなら604)。
ログイン履歴を見ると、もう海外からは来てません。
不正アクセスを確認する
8月末に設定したプラグインの「CrazyBone」。
久しぶりにメインサイトのログを確認したらまあーーーーーなんとすごいこと!
まあ、ログインできてないので、正しいんですが・・・。
延々と続くので数も正確に把握しきれません。
最近の投稿をサムネール付きで
最近の投稿一覧をサムネール付きにしてウィジェットに表示させるプラグインです。
「Newpost Catch」
めっちゃ簡単なので説明の必要もありません(笑)。
表示サイズの調整次第でギャラリーにもなっちゃいます。
Favicon設定プラグイン
WordPressにFaviconを設定するプラグイン発見。
「Favicon Rotator」
便利だー。
ブラウザ用 16✕16
タッチアイコン用 144✕144
を作って設定すればタッチアイコンは適当に縮小してくれるらしい。
詳しい話はここ↓(感謝)
WordPress にファビコンとアップルタッチアイコンを実装してサイトの注目度を高める
アイコン作成にはフリーソフトの「Gimp for windows」なら、標準で作成可能。
ホームページにGoogleマップを載せる
ホームページにGoogleマップを載せる(吹き出し無しで)。
今更な内容ですが、自分のために記録します。
1)Googleマップで目的地を表示させ、適当な大きさに調整。
2)吹き出しを消したいので、☓で吹き出しを消す。
3)リンクを取得。
4)希望の場所にリンクのタグを貼り付ける。
5)一部編集する。「&iwloc=B」を追加。
output=embed&iwloc=B"></iframe>
こちらが非常に詳しいです↓(感謝)
Google マップの埋め込み HTML でふきだしを消してマーカーを残す方法
手動でのWordPressアップデート
今のWordpressは自動アップデートができてすごく簡単ですが、自動になる前の古いバージョンを最新にアップデートしたので覚書です。
ロリポップのデータベースもバージョンが古くてMySQL5.0以上にアップしないとできないとごねられました。
1)Wordpressのフォルダを全部バックアップ。
2)ロリポップのデータベースをアップデート。
2)Wordpressのプラグインを停止
3)最新版の WordPress (日本語版)をダウンロードして解凍。
4)wp-config.php と wp-contentフォルダ以外のファイルとフォルダを上書きアップロード。
/wp-content/languages/ を上書きアップロード。
5)データベースが変ったので、wp-config.phpを新しい情報に書き換え。
6)サイトのURL/wp-admin/update-core.php にアクセスして、WordPressをアップデート。
7)プラグインを有効化
テーマもアップしたのでカスタマイズが消えちゃいました。
これはこのバージョンではまだエキスポートできなかったので、手作業で復元。
これでひと安心。
保護中: 入局連絡テスト
ログイン履歴を監視する
WordPress改竄騒ぎがまだ続いています。
この機会にログイン履歴を監視するプラグイン「CrazyBone」を入れてみました。
有効にすると、ユーザーメニューに「ログイン履歴」ができます。
一旦ログアウトして、わざとID:admin/Pass:passwordでログイン失敗してみました。
ちゃんと履歴に残って面白いです。
いや、無い方がいいんですが・・・。
WordPressの第三者による大規模攻撃
本日、ロリポップでWordpressを使っている人がサイトを改竄される被害が大発生しました。
正確な症状や対応状況は、ロリポップ及びWordPressフォーラムで随時更新されています。
ハッキングしたサイトの一覧などFacebookで公開されていました。
ざっと確認して、私の知っているサイトはありませんでしたが、まだ終わっていないので要注意です。
また、上記のリストのサイトをクリックすることも避けるべきです。
ともかく、以前から注意喚起はされていましたが、ログインパスワード・FTPパスワードなど、変更することをお勧めします。
FTPS接続とアクセス制限は最低限度するべきです。
ロリポップサーバーがハッキングされたわけではありません。
プラグインの「Exploit Scanner」で、コアファイルの改竄が無いか調べることができます。
ロリポップの上記への対応の影響で、プラグインによってはエラーが出ています。
チカッパから移行した際のフルパスが使えなくなり、「DBManager」がエラーになりました。
これは、ロリポップで正しいフルパスを確認して、「DB Options」で設定すれば直ります。
「Your backup folder MIGHT be visible to the public」なんて、ダッシュボードにちょっと派手にエラーが出ているので驚くかもしれませんが、これは大丈夫。
追記 2013.08.30:ロリポップより旧フルパス対応は元に戻したとのこと。
昨日はアイキャッチ画像の設定ができませんでしたが、今日はできました。