WordPressにはピンバックというエントリ中に含まれるリンク先に対して通知をする機能があるのですが、これを悪用してDDoS攻撃が行われていたんだそうです。
WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用
[ITmedia]
困るのはこれがWordPressの脆弱性を突かれた、とかパスワードを窃取されてサイトのコントロール権を奪われた、とかそういった事象ではなく、デフォルトで備わっている機能で実現してしまっている点です。
とは言え、うちのblogが攻撃に加担していたら問題なので、とりあえずオンになっていたピンバック機能を無効化しておきました。
FTPやSMTP、HTTPやHTTPSのうち特定のアドレスについて国外からのアクセスをブロックする機能が提供されるんだそうです。
【お知らせ】2014年3月13日(木)より順次「国外IPフィルタ設定」機能の提供を開始いたします。
詳細は以下のURLをご参照くださいませ。http://t.co/P6Qsvs2hVB— まりな🌸さくらインターネット公式 (@sakura_ope) March 11, 2014
特定のプロトコルの他、HTTPではWordPressの管理画面やwp-login.phpがフィルタの対象になるようなので、海外からアクセスする可能性がなさそうであれば利用した方が安心かもしれません。
使い方等よく確認して利用してみたいと思います。
当blogの中の人に問い合わせをする場合は何らかのエントリにコメントをするしかなかったので、ちょっとどうにかしないとだめだなと長らく思っていたところでした。
そこで、プラグインを使ってお問い合わせフォームを付けてみました。
右サイドバーの一番下、従来Akismetのスパム捕獲数を表示していたところに配置しています。
使用したのはContact Form 7というプラグインです。
国産のシンプルなお問い合わせフォーム用プラグインです。
Contact Form 7
[Wordpress.org]
お問い合わせスパムが来たら困るので同じ開発者の方が作られたReally Simple CAPTCHAで送信時にCAPTCHAの入力を要求するようにしています。
Really Simple CAPTCHA
[Wordpress.org]
どちらもシンプルで組み込みやすかったです。
自分で試しに問い合わせをしてみましたが使用感も良好でした。
とうとう自動アップデートの威力が発揮されました。
今回の3.8.1はメンテナンスリリースでバグフィックスが中心のリリースだということですが、自動的にアップデートをしてもらえると非常に助かります。
登録しているメールアドレスにアップデートされた旨のメールが届くのも親切です。
ただうちではメーラーが気を利かせて迷惑メールとしてフィルターしていましたが…
ここしばらくのセキュリティを多少でも強化しようキャンペーンの一環として導入したThrows Spam Awayプラグインですが、非常に好調です。
Throws SPAM Away
[wordpress.orgの紹介ページ]
日本語の含まれていないコメントを排除するようにしただけでも大分効果があったのですが、それをかいくぐってきたスパムコメントが数件ありました。
ただ、それらもAkismetが捕獲してくれたので、IPアドレスを元にブラックリスト規制することにしました。
この”Akismetでスパム判定したIPをそのままブラックリスト入りにする”という操作もボタン1発でできるので大変設定が簡単です。
後はなおこの条件でも投稿されるスパムを個別対処すればほぼほぼスパムフリーに近い状態になるのではないかと思います。
当blogの自転車関連エントリには走行ルート紹介でルートラボの地図が貼り付けてある場合があります。
先日の曽我丘陵のエントリを書く際にルートラボの地図を入れたエントリにしようと思っていたのですが、投稿時にForbiddenエラーが出てしまいました。
ルートラボの地図のタグ部分を消すと普通に投稿できたので原因はこの辺かというアタリはついていたのですが、特定できずにいました。
そこで先日設定したレンタルサーバのWebアプリケーションファイアウォールのことを思い出しました。
ルートラボの地図はHTMLタグになっているので、不正なスクリプト等と判断されて弾かれているのではないかということです。
試しに一時的にWebアプリケーションファイアウォールをオフにしてみたところ、ルートラボの地図を本文中に含んでいる場合でも問題なく投稿ができました。
ルートラボ抜きだといまいち自転車関連エントリも味気ない感じになってしまうので、ルートラボをあきらめるというのはちょっと問題です。
当面はルートラボを含む投稿をする場合は一時的にWebアプリケーションファイアウォールを切るしかなさそうです。
ファイアウォールの設定にホワイトリストみたいなものが設定できれば問題ないのですが、ONとOFFが選べるだけなのでこの方法しかなさそうです。
当blogに投稿されるコメントスパムは海外からのものが多いようなので、対策に有効そうなプラグインを探していました。
試しにここ何日か運用してみて調子がいいのがこちらです。
Throws SPAM Away
[wordpress.orgの紹介ページ]
基本的には”日本語の含まれていないコメント”をスパムと判断し無視する(=投稿自体は受け付けるが記録されない)仕組みです。
現状ではかなりの切れ味で大満足です。WordPress3.8との組み合わせは未検証とのことですが、正常に動作しているようです。
まだ巧妙な日本語コメントスパムも残っていますが、同プラグインにはNGワードやIPアドレスでのフィルタもあるそうなので、この辺を使って対策していこうと思います。
作者の方ありがとうございます。かなり重宝しています。
ダッシュボードの見た目なんかも変わって新しくなった感があります。
日本語版も英語版に遅れること3-4日くらいでリリースになったのでなかなかのペースです。
新しいテーマとしてTwenty Fourteenが追加されています。
黒地に緑でなかなかかっこいいテーマです。
結構第一印象では気に入っているテーマなので今後変えてみるかもしれません。
Twenty Fourteenを適用した予想図(ライブプレビュー)がこれです。
借りているさくらインターネットのサーバにWebアプリケーションファイアウォールのサービスがあったのでここ数日試しにONにしたりOFFにしたりしていました。
よくCMSとWebアプリケーションファイアウォールは組み合わせによっては不具合の原因になる、という情報をネットで見てビビっていたのですが、
基本的に当blogの動作に重大な影響はないようです。
ただしどうもプラグインのImageZoom(画像をズーム表示するプラグイン)は動かなくなってしまうみたいです。
Webアプリケーションファイアウォールを使わない手はないので、しばらくImageZoomはオフにしておこうかと思います。
WordPressのダッシュボードへの接続をSSL化しようと思ってWordPress HTTPSというプラグインを入れていろいろ設定をしていました。
動くところまではうまくいっていたようなのですが、なぜかログイン操作を行ってもダッシュボードにログインができなくなってしました。
原因がプラグインにあるのは間違いなさそうですが、そもそもプラグインのオン・オフはダッシュボードで行うのでログインができないとどうにもなりません。
ちょうど自動車のカギの閉じ込みのような状況です。
で、ネットで検索してみたところやはり同様の事例がありました。
httpsにリダイレクトされて管理画面が操作できない
[WordPress.orgフォーラムのトピック]
まさにドンピシャです。
回答にある通り、レンタルサーバの管理ツール(phpMyAdmin)でデータベースを直接編集して、いったんプラグインを全部止めてしまえばまずはログインができるようになります。
管理パネルにアクセスできないときに全プラグインを停止するには?
[WordPress Codex]
というわけで緊張する操作でしたが無事に完了し、めでたく経緯をエントリにすることができました。
しかし共有SSLでダッシュボードへのSSL接続を実現しようとしたのが良くなかったんでしょうか。
とりあえず本件は置いておこうと思います…