IKEDA Yuriko
フォーラムへの返信
-
フォーラム: その他
返信が含まれるトピック: このフォーラムにつきまして一般投稿者は30分以内(だったかな?)であれば内容を修正できますので、本文の末尾に「投稿先を間違えたのでフォーラムの移動をお願いします」と追記してもらうのが、お互い楽だと思います。
変更時間を過ぎてしまったら、タグで「移動依頼」をつけてもらうのもアリですね。
フォーラム: その他
返信が含まれるトピック: セキリュティについての質問せっかくなので詳細を書いておきましょう。
* テーブルのプレフィックス変更
* インストール済みの保全SQL インジェクション対策を想定しているのだと思いますが、WordPress では SQL インジェクションはほとんど起こり得ません。
また、悪意あるテーマやプラグインが DB の中身を読みだそうとしたら、wp-config.php で定義されている$table_prefix
を読めばいいので、wp_ 以外にしても効果がありません。* wp-content のリネーム
これは他 CMS から URL を維持したままコンテンツを移行しようとするための機能であって、あまりセキュリティーとは関係ありません。
だいたい、画像とか貼り込んでしまえば wp-content のありかはすぐバレます。* ユーザー名の変更
すでに存在するユーザー名を知ることによって、ログインを試そうとしているのだと思いますが、WordPress で存在するユーザーは
http://example.com/?author=1
などのクエリをすることによってすぐ判明します。ユーザー ID を1から順に増やしていけば、存在するユーザーかどうか判明します。
したがって、デフォルトユーザーを admin 以外に変更しても、すぐに管理権限をもっているユーザーがどれか予測することができます。
単純に、「デフォルトのユーザーが admin というのはかっこわるい」という理由で変更するものにすぎません。余談ですが、ログインパネルで「存在しないユーザーです」「パスワードが間違っています」の区別がされていますが、これもセキュリティーには影響していません。
通常のウェブアプリでは、ログイン時のエラーでユーザー名の失敗とパスワードの失敗のメッセージは区別しないのが鉄則ですが、WordPress はユーザーの存在を上記の方法で調べることができるため、ログイン時に情報を提示しても問題ないわけです。* バージョンを開示しない
これはいつも論争になりますね。はっきり言うと、鉄則は「常に最新版の WordPress を使う」です。
あるバージョンのWordPressで脆弱性が出たとしても、攻撃者は「WordPress サイトを見つけたらまず攻撃する」のが先であって「バージョンを調べてから攻撃する」なんてことはしないのが普通です。
よって、バージョンを隠したからといって攻撃耐性が上がるわけではありません。バージョンを隠すのは「よくわかってないセキュリティー監査業者からの指摘を減らす」ぐらいの意味しかありません。
コリスさんは、以前にも WordPress のセキュリティー向上の記事を載せたことがあって、そのとき「バージョン隠しは意味がない」ことを説いたのですが「元記事にあるからそのまま載せています」という回答で萎えました。
つまり、コリスは「元記事の良否を検討せずに紹介している」わけで、だからこそ「参考にしてはいけないサイト」というわけなのです……。フォーラム: その他
返信が含まれるトピック: セキリュティについての質問http://coliss.com/articles/blog/wordpress/security-tipps-for-wordpress-install.html
コリスを参考にするのはやめましょう。海外の情報を積極的に紹介しているのはすばらしいのですが、玉石混交のままなので、役立たずだったりゴミの内容もいっぱいあって、「スキルがない人が読む」には適していません。
ご提示された記事も、以下のコツは効果がないものです。
- テーブルのプレフィックス変更
- wp-contentのリネーム
- インストール済みの保全
- ユーザー名の変更
- バージョンを開示しない
以下のものは適切な用語を使ってなくて混乱を招く情報です。
- ファイルとフォルダのパーミッション (通常パーミッションと言えば 755 とか読み書き実行の権限のこと。robots.txt とは違う話)
以下のものは役に立ちますが情報が古いです。
- 認証用ユニークキー (今は https://api.wordpress.org/secret-key/1.1/salt/ を見るべき)
まあ、今回は「.htaccessの設定」だけが必要な情報で、ここはマトモなことが書いてあるので参考にはなりますが、.htpasswd ファイルの生成が必要なことを書いてないという不備があります (それが分かっている人向けのドキュメントということ)。
wp-login.php を隠す方法は紹介してないようですが……。
フォーラム: プラグイン
返信が含まれるトピック: Ktai styleとCustom Post Templates携帯用にも single_2.php を作って、携帯用テーマのディレクトリーに入れてください。
フォーラム: 使い方全般
返信が含まれるトピック: page.phpを変更しても固定ページの表示が変わらないとりあえず「2」で消えましたが、これはあくまで一時的な
非表示であり、本質的な解決になっていません。逆ですよ。これが本質的な解決方法です。
テーマの改造でコメント欄を消すだけですと、WordPress 本体はページに対してコメントを受け付けてしまいます (wp-comments-post.php に直接アクセスすればいいので)。もしスパムコメントが送信されると、今後、管理パネルのコメント一覧には固定ページに対するコメントが出てきます。
しかし、各ページの設定でコメント投稿を不許可にすると、WordPress 自体がコメントの受付を拒否します。wp-comments-post.php にスパムコメントを送信しようとしても失敗します。
固定ページは最初に作ってしまえば、後で頻繁に増えるものではないですから、各ページの設定でコメント投稿を禁止してしまうのがベストの解決方法になります。
フォーラム: 使い方全般
返信が含まれるトピック: サーバーダウン後、ログインページが表示されません。サーバーが正常に稼働をしている状態でも、
WordPress が正常に稼動するためには、ウェブサーバーが立ち上がっていることに加えて、PHP や MySQL が動作していることが必要になります。
サーバーダウン時にサーバー管理者が PHP や MySQL を止めてしまっている可能性があるので、動いていることを確認してください (確認方法はサーバーの OS によって異なるので管理者に聞いてください。このフォーラムでは回答できません)
フォーラム: インストール
返信が含まれるトピック: hostsの変更とWordPressの設定の仕方について(サーバー移転時)FQDN というのは Full Qualified Domain Name のことで、つまり「正式なアドレス」と同じ意味です。「ドメイン名」だとちょっと曖昧になりますので、この用語は覚えておいてください。
正引きとは、ホスト名や FQDN から IP アドレスを求めることです。これも独自ドメインを運用するなら知っておくべき言葉でしょう。ここで、少し不具合がありましたので、本番と同じ状態(正式なアドレス)で確認したいため、自分の使っているmac内の/etc/hosts ファイルを書き換えて、自分のマシンからのみ正式なアドレスで確認出来ればと思っています。
これですと、自分のマシンでのみ FQDN から IP アドレスに変換できますが、さらに必要なのは「WordPress が入っているサーバー自身が FQDN から IP アドレスに変換できること」です。自分のマシンの /etc/hosts を設定するだけでは、サーバー自身はその設定を読めませんから、「サーバー自身が IP アドレスへの変換をできない」ということになります。
サーバー自身が「IPアドレスへの変換」をできないと、www.example.com は「不明なアドレス」となってしまってアクセス不能になります。
サーバーで (オープン前の) FQDN から正引きをさせる方法についてはネットワーク管理者に相談してみてください (もはや WordPress の質問ではありませんし、サーバーの OS やネットワーク構成によって違います)。そういう人が存在しないなら、ご自身で勉強するか、すっぱりあきらめて「IP アドレスでのアクセスで我慢する」しかないでしょう。
フォーラム: インストール
返信が含まれるトピック: hostsの変更とWordPressの設定の仕方について(サーバー移転時)このような場合、「hosts ファイルの書き換え」の他、新しく製作中のWordPressの一般設定画面にあります「Site address (URL)」の部分も実際のアドレス(IPを使わないアドレス)に変更しても問題ないでしょうか?
この場合、そのサーバーにおいて /etc/hosts を書き換えるなりして、サーバー上で FQDN から IP アドレスへの正引きができるようになっている必要があります。
さらに、Apache などウェブサーバーソフトウェアにおいても、FQDN でのバーチャルホスト設定が必要な場合もあります。英語フォーラムでも同じような質問がありました。
「Beat diabetes) beatdiabetes.us footer link, hack activity」どうやら、特定のプラグイン (Facebook や Twitter のリンクを入れるプラグイン) が勝手にフッターに宣伝リンクを入れてしまうようです。
WordPress のプラグインとして「あまり行儀がよくない動作」と言えますから、当該プラグインの使用を停止する手も検討してみてください。
フォーラム: その他
返信が含まれるトピック: WordPressの地図表示地図の表示はどのように行なっていますか? スクラッチに書いた JavaScript で Google Maps API を叩いていますか? それとも Google Maps を表示するプラグインを使っていますか?
プラグインを使っている場合は、その名前と入手先、プラグインの設定を教えてください。
自分で書いたコードの場合は、そのコードをここに書かないとアドバイスが得られないと思います。コードを書くときは、入力欄の上にある「code」ボタンを使ってください。フォーラム: 使い方全般
返信が含まれるトピック: データベースバックアップの復元方法ちょっと知っているからと偉そうなことを言ってはならない。貴方に助ける気がなければ返事を書かなければ良いのだ。貴方だけのフォーラムではない。回答者は貴殿だけではないのだ。他に善意者はいるのだ。
はあああああ?? 偉そうにしているのはどちらでしょう。あなたの行為はこのフォーラムを「独善化」する荒らし行為です。今後フォーラムに出入り禁止とします。このトピックも閉じさせて頂きます。
追記しておくと、あなたのような物言いの人には、他の誰も回答してくれませんよ。少なくともここの常連回答者のみなさんは。
フォーラム: 使い方全般
返信が含まれるトピック: データベースバックアップの復元方法早く助けてください。
このフォーラムは有志がヒマなときに「みんなの助けになる」と思って回答しているものです。
あなた1人のためにあるのではありません。また、リアルタイムで回答者が貼りついているわけでもありません。1時間おきに助けを求めても誰か来るわけではありません。
わたしの回答2つをよく読み返してみてください。要点としては
(1) データベースのバックアップを復旧しても「ブログが真っ白」状態を回復できる可能性は低いです。
(2) サーバーのログやデバッグモードについては、「wp-config.php の修正」にリンクが張ってありますから、それを辿って読んでみてください。次の質問は、wp-config.php でデバッグモードを有効にし、サーバーのログを取得して貼り付けてから行なってください。そうでないと「情報がなさすぎ」なので回答できないのです。
フォーラム: プラグイン
返信が含まれるトピック: ktai_entryでモブログした時の、画像リンクの消し方<?php function ke_remove_link_for_images($html, $id, $size) { return preg_replace('#]*>(<img[^>]*>)#', '$1', $html); } add_filter('ktai_image_link', 'ke_remove_link_for_images', 10, 3); ?>
が入力したコードそのものだとしたら正規表現の部分 (
preg_replace()
の中身) が壊れています。http://www.yuriko.net/arc/2009/01/14/ktaientry089/#comment-1302
に正しいコードがありますので、ここから引っぱってきてみてください。フォーラム: 使い方全般
返信が含まれるトピック: wordpress を始めたい読みましたが、100%理解不能です。
だったら WordPress をご自身でインストールして使うのは、あきらめた方が無難かもしれません。WordPress.com ブログで済ませるのがいいかと。
このフォーラムはあなた1人のためにあるのではないのです。nobita さんも書かれていますが、WordPress ユーザーすべての人のためにあります。「よく分からないから1から10まで教えて」という *質問* は、はっきり言うと有害です。(他に「1から10まで教えて」という人が増殖するといけないからです)
すでにあるドキュメントを読めば解決することは「ドキュメントを読んで」で済ませて欲しいのです。「スタートガイド」が難解であれば、WordPress の入門書を読むなどの方法を *自力で* やるべきなのです。
あとは、お住まいの近くで WordPress の勉強会 (WordBench 主催など) があれば、そこに出て行って質問してみてください。オフラインの方が話が進むことも多いです。そうしないと、WordPress を無事使えるようになっても、困ったことが起きたら、その都度このフォーラムで訊くはめになってしまいます。それでは成長しません。
他の人も、親切に回答しないでくださいよーーー。こういう人に「タダで」回答する義理はないのです。
フォーラム: 使い方全般
返信が含まれるトピック: wordpress を始めたいwordpressのダウンロードが先でしょうか?サーバー契約が先でしょうか?ドメインもサーバー会社で取得するのですか?
現在のテーマデザインではなくても構いません。ページの欄も整理したいと思っています。
ブログは継続していきたいと思います。よろしくお願いします。わたしが提示した「スタートガイド」は読みましたか? このフォーラムは、「自分で解決することを助ける場所」です。努力しないで答えを求める場ではないのです。
スタートガイドに「インストールの前に」という項目がありますが、そこを読めば、WordPress のダウンロードが先か、サーバー契約が先かは自然と分かるはずです。
よく分からなければ何回でも読んでみてください。Core blog.jpでドメインを取得登録をしましたが、wordpressの欄がありません。
いきなりドメインを取ったのですか? 独自ドメインと WordPress は直接には関係ないので、ドメイン取得時に WordPress の欄がないのは当然です。
とにかく、追加の質問をされる前に「スタートガイド」を一通り読むことをお願いします。