WordPress403エラー解消
お客様のWordpressで403エラーが頻発していました。
レンタルサーバーに複数のWordpressを設置しており、その中のメインページをトップの階層に置いてあります。
メインページのみ、Wordpressの設置フォルダとURLが別になっているわけです。
その設定をしたあたりから403が出るようになりました。
403エラーは出ますが、再読み込みすると表示されるので余計にわからない。
スタイルシートの読み込みに失敗したり、画像ファイルの一部が読み込み失敗することも度々です。
一部、他のWordpressのページのアドレスと重複したりしていたのは修正しましたが、まだ403が出ます。
レンタルサーバーのWAFを無効にしても未改善。
どうやら.htaccessファイルが原因でした。
古いMovableTypeもあり、ホームページビルダーで作成したページもあり、どれが削除して良いファイルかなかなか判断が難しい。
いろんなアクセス制限もしているので、だれが設置したのか分かりづらく、試しに一番上位の階層にある.htaccessをリネームしてみたところ403エラーはきれいに出なくなりました。
おそらく、パーマリンク設定を変更したあたりで自動で作られた.htaccessだったかと思われます。
ロリポップでアクセス制限
WordPressにログインできなくなったそうで、対応依頼です。
ロリポップからメールが来て
WordPress の wp-login.php に対し、複数回のログイン試行が確認されました。
アクセスの内容より、総当たり攻撃や辞書攻撃など、WordPress への
不正なログインを試みるアクセスの可能性が高いと判断されたため、
弊社側で .htaccess による wp-login.php へのアクセス制限を実施し、
WordPress ダッシュボードへのログインができないよう対応を行っております。 お客様ご自身が WordPress にログインするため、
.htaccess を編集しアクセス制限を解除する必要がございます。
ですって。
それでお客様失敗して、Wordpressにログインできなくなり、さらに失敗してホームページも表示できなくなっていました。
正しく設定して正常動作するようにしましたが、このままではお客様や弊社のIPアドレスが変わるたび、「.htaccess」を修正しなければログインできません。
IPアドレスで制限はやめて、日本以外からはログイン不可に変更しました。
これにより、
アクセス履歴プラグイン「CrazyBone」導入。ログイン及びログイン失敗の履歴が見れます。
時々確認して、怪しげなログインの試みが続くようなら、
日本国内からのみのはずなので、
「WP to Twitter」が止まっていて、修復を試みたけどうまくいかないので、やめて「Tweetable」を設定。
ウィジェットもうまく働かないので「Twitter」のタグ貼り付けに変更。
Twitterの仕様変更が原因ですが、ここんとこあれこれ変わる度に振り回されるので勘弁して欲しい。
手動でのWordPressアップデート
今のWordpressは自動アップデートができてすごく簡単ですが、自動になる前の古いバージョンを最新にアップデートしたので覚書です。
ロリポップのデータベースもバージョンが古くてMySQL5.0以上にアップしないとできないとごねられました。
1)Wordpressのフォルダを全部バックアップ。
2)ロリポップのデータベースをアップデート。
2)Wordpressのプラグインを停止
3)最新版の WordPress (日本語版)をダウンロードして解凍。
4)wp-config.php と wp-contentフォルダ以外のファイルとフォルダを上書きアップロード。
/wp-content/languages/ を上書きアップロード。
5)データベースが変ったので、wp-config.phpを新しい情報に書き換え。
6)サイトのURL/wp-admin/update-core.php にアクセスして、WordPressをアップデート。
7)プラグインを有効化
テーマもアップしたのでカスタマイズが消えちゃいました。
これはこのバージョンではまだエキスポートできなかったので、手作業で復元。
これでひと安心。
WordPressの第三者による大規模攻撃
本日、ロリポップでWordpressを使っている人がサイトを改竄される被害が大発生しました。
正確な症状や対応状況は、ロリポップ及びWordPressフォーラムで随時更新されています。
ハッキングしたサイトの一覧などFacebookで公開されていました。
ざっと確認して、私の知っているサイトはありませんでしたが、まだ終わっていないので要注意です。
また、上記のリストのサイトをクリックすることも避けるべきです。
ともかく、以前から注意喚起はされていましたが、ログインパスワード・FTPパスワードなど、変更することをお勧めします。
FTPS接続とアクセス制限は最低限度するべきです。
ロリポップサーバーがハッキングされたわけではありません。
プラグインの「Exploit Scanner」で、コアファイルの改竄が無いか調べることができます。
ロリポップの上記への対応の影響で、プラグインによってはエラーが出ています。
チカッパから移行した際のフルパスが使えなくなり、「DBManager」がエラーになりました。
これは、ロリポップで正しいフルパスを確認して、「DB Options」で設定すれば直ります。
「Your backup folder MIGHT be visible to the public」なんて、ダッシュボードにちょっと派手にエラーが出ているので驚くかもしれませんが、これは大丈夫。
追記 2013.08.30:ロリポップより旧フルパス対応は元に戻したとのこと。
昨日はアイキャッチ画像の設定ができませんでしたが、今日はできました。
ロリポップのFileZilla設定
久々にロリポップにFileZillaでFTPS接続しようと思ったら設定内容がわかりづらかったので覚書。
ホスト:ロリポップのFTPSサーバー
Protocol:FTP-File Transfer Protocol
Encryption:Require explicit FTP over TLS
ログオンの種類:通常
ユーザー:FTPアカウント
パスワード:FTPパスワード
転送モード:パッシブ
※ パスワードはもちろん初期値から変更8文字以上
※ もちろんFTPアクセス制限
Lolipopの「WordPress簡単インストール」
新規にLolipopを契約してWordpressをインストールします。
今はLolipopに「WordPress簡単インストール」機能があるので、こちらを試してみました。
ドメイン:独自ドメイン取得済み
WordPressバージョン:3.0.1
マニュアル
本当に簡単です。
データベース作成も、設置先ディレクトリも自動で作成されます。
1点だけ手作業で変更。
インストールするディレクトリと違う場所にホームページを表示させたい。
[一般設定]でサイトのアドレスを変更。
WordPressのアドレス http://○○○○○○.com/wp/
ホームページアドレス http://○○○○○○.com/
[index.php]をエディタで開き、編集。
require(‘./wp-blog-header.php’);
↓
require(‘./wp/wp-blog-header.php’);
編集済みの[index.php]を、ホームページアドレスの場所へFTPでアップロード。
これは手作業でしかできなさそうです。
レンタルサーバー乗り換え
ロリポップからチカッパに乗り換えました。
ロリポップ → チカッパ
容量:1GB → 3GB
月額:263円 → 525円
私は2つのドメインを持っているため、今まではレンタルサーバーをロリポップで2契約していましたが、チカッパはマルチドメイン対応なので、今回一つにまとめました。
ただ、運用中のサイトを移行し、メインサイトはMovableTypeからWordpressに切り換え、移行しながらメールアドレスの設定変更、移行した頃を見計らってサブドメインの設定。1日でこれを済ませるのはかなりしんどかったです。
特に、サブドメインの設定と、Wordpressのインストールディレクトリの設定変更のタイミングが難しく、サイトが見えなくなってはあせりまくりました。
設定変更して反映までが1時間ほどかかりました。
Ktai Style 1.46
WordPressで作ったブログを携帯電話用に出力するプラグイン。
Ktai Style (携帯対応プラグイン)
これはすごいです。
これを使うためにWordPressを使う人もいるくらい。
最初、ロリポップではどうしてもエラーが出てしまったのですが、
↓こんなの
Parse error: syntax error, unexpected T_STRING, expecting T_OLD_FUNCTION or T_FUNCTION or T_VAR or ‘}’in /****/wp-content/plugins/ktai_style/ktai_style.php on line 70
調べてみると、サーバーのPHPバージョンが4.xだとエラーになる。
でも、ロリポップの仕様を確認すると、5.2.5なんです。
さらに調べたところ、4から5に切り替える必要があるそうで、切り替えないと古いまんまなのだそうです。
しかも、2009年春頃には4は使えなくなるとかで、自分で切り替えないといけない状況なのでした。
当然、何も問題が無いかどうかは保証が無いし、これもググってみると、「ホームページが表示されなくなった!」なんて人もいるのです。
でも、どうせやらなきゃいけないことなので、念のためバックアップを取って切替実行。
数分後、「Ktai Style」が使えるようになりました。ちょっとタイムラグがあるようです。
いやあ、すごいの一言。
テーマエディタ
管理画面からテーマファイルを編集できますが、デフォルトのままではアクセス権が無く、FTPソフトなどで変更する必要があります。
テーマファイルのパーミッション:644または666
フォルダのパーミッション:755または777
ロリポップの場合
テーマファイル:644
フォルダ:755
XREA.COMのWordPressインストールガイド
http://wordpress.ser8.info/archives/category/xrea
XREA.COMの仕様(2009/1/7現在)
PHPのバージョン:4.4.8または5.2.5
MySQLのバージョン:5.1.22
Perlのバージョン:5.8.8