mokkosan
フォーラムへの返信
-
フォーラム: 使い方全般
返信が含まれるトピック: ログインができないので教えてください。想像を逞しく考えるに、おそらく、普通にログインできた4月12日以降に、サーバのシステムがバージョンアップして、古いWordPressが動作範囲外になってしまったため、エラーが発生しているのではと思います。もしかしたら、今までご自身で、WordPressやプラグイン・テーマを、こまめに更新してきていなかったのではないかと想像します。
これは例えて言えば、オイル交換をずっとしていない車に乗っていて、しかも警告灯が点灯しているにもかかわらず、それを放置して乗り続けた挙句に、車が故障して動かなくなってしまった状態と言えるでしょう。
多少なりとも車をいじった経験があれば、詳しい人に聞きながら、なんとか応急処置くらいはできるでしょう。しかしながら、全く触ったこともないし、用語もわからんという人は、聞いただけでどうにかできるとは思えないですよね。さっさとプロの自動車工場までレッカーしてもらう方が早く対処できるはずです。
今回の件でいえば、ことりさんがあげたチェックリスト等は、ごく基本の診断方法です。それによって、問題がどこにあるのか切り分けて、原因を特定するために必要になります。それがチンプンカンプンということでしたら、取りうる道は三つしかありません。
- 諦める。→新しいサイトを作って、中身を移動する。
- 学ぶ。→1から学んで対処できるように頑張る。
- 依頼する→餅は餅屋です。WordPressのプロに頼みましょう。
どの道を選ぶかは、あなた次第です。
フォーラム: 使い方全般
返信が含まれるトピック: WordPress5.3+PHP5.4からのバージョンアップ3週間ほど前のトピックにだいたいそのままの事例がありますので、まずは、試してみてください。
https://ja.wordpress.org/support/topic/旧バージョン(3-5-2)からのバージョンアップ/
フォーラム: その他
返信が含まれるトピック: リッチカラム複製するとページの一番上に飛ぶブラウザのキャッシュは削除してみましたか?また、いつも使っているブラウザとは違うもの、例えばChromeを常用にしているならFirefoxを使ってみるとか、で状況は変わりますか?なお、それはないとは思いますが、Swell側に原因がある場合、有償製品なので、このフォーラムでは取り扱うことができません。メーカーサポートに聞いてもらうことになります。
フォーラム: 使い方全般
返信が含まれるトピック: PCを初期化したら管理ページに入れなくなりました。まずは、落ち着いてください(^-^;
ヘルプが必要なページはインターネット上のサーバにありますから、手元のパソコンを初期化してしまったところで、何の影響も受けません。ですから、過去にアップロードしたり書き込んだりしたものはそのまま残っていて消えてはいないはずです。そして、そのページの管理画面には、IDとパスワードさえあっていたら、ログインできるはずです。
それとも、初期化したパソコンだけがそのIDとパスワードを知っていて、あなた本人にはわからないということなのでしょうか。さてどちらですか。それによってまず、最初の問題の切り分けができます。
フォーラム: 使い方全般
返信が含まれるトピック: ログイン時に新しいサイトになるなるほど。では、まず届いたメールの指示通りにしてみるというのはどうでしょうか。
ログインするのにはIDとパスワードが必要なわけですが、お使いのパスワードが過去に流出したリストに含まれているものだったようで、そのままだと乗っ取られる可能性があるので、アカウントにプロテクトをかけたと書いてありますよね。で、ログイン画面で示してある数字を入力してログインし、パスワードをすぐに変更してください。と指示があります。これらは行いましたか?
これらを行わずにJetpackだけ止めてログインしたとすると、危険なパスワードのままプロテクトが解除されてしまって、その隙に何らかの攻撃があっておかしくなっている可能性もあるかと思います。(あくまでも可能性ですからそうなっていると指摘しているわけではありません。)
(6)ですが、wpフォルダの上の階層はどうなっていますか?
なお、netowlは私は使っていないので固有の事象に関しては分かりません。他の方のアドバイスも待ってみましょう。
フォーラム: 使い方全般
返信が含まれるトピック: ログイン時に新しいサイトになるそれはお困りでしょう。状況を拝見するかぎり、管理画面に表示されている内容と、実際のホームページに表示されている内容が一致していないようですね。まずは落ち着いて、順番に解いていきましょう。次の質問に答えてください。
(1)まず、ホームページは、どのようにして作成しましたか?全て自作でしょうか、それとも業者に頼んで作ってもらいましたか?可能であれば、そのサイトのURLを共有してもらえると状況が把握しやすくなります。
(2)ホームページは通常どこかのサーバにあげておく必要がありますから、サーバ会社と契約しているはずですが、どちらと契約していますか?
(3)「ネット上のHPの方は問題なく表示出来て」いるとのことですが、前段で「ページが見つかりません」と表示されるようになったとおっしゃっています。ホームページは全て問題なく表示されているとしたら、見つからないページは何のページのことですか?
(4)現在の管理画面のURLは、正しいものですか?(以前と変わっていませんか?)
(5)wp-config.phpというファイルがあります。FTPなどでサーバに接続し、中身を確認してみて、その中の「
DB_NAME」「DB_USER」などの設定が以前のものと一致しているかを確認できそうですか?(6)さらにFTPで確認して、サーバー内に WordPressが2つインストールされている可能性はありませんか?(例:
/public_html/と/public_html/wp/など)まずは、以上を教えてください。
フォーラム: 使い方全般
返信が含まれるトピック: ログインページにIPアドレス制限をかけているのに「ログインしていない状態でwp-adminのフォルダやファイルにアクセスすると、wp-login.phpにリダイレクトされるものだと認識しております。」とお書きですが、この認識が間違っています。
Apacheのリダイレクトの場合、例えば、.htaccessなどに
Redirect 301 /a.php /b.phpと書くか、または、
RewriteEngine On
RewriteRule ^a.php$ b.php [R=301,L]と書くことで実現できます。
この時Apacheは、ブラウザからa.phpが要求されたら、a.phpを開くことなく即座にb.phpを開きます。ですから、b.phpが閲覧制限されていたら、a.phpもまた閲覧制限が適用されます。
ところがwp-admin/index.phpは、そういう正規の意味でのリダイレクトが行われているわけではありません。WordPress の PHP コード(アプリケーションレベル)で実行されている擬似的なリダイレクトです。その動作は次のようになっています。
処理の流れ(ログインしていない場合に
wp-admin/index.phpにアクセスすると…)- ブラウザが
https://example.com/wp-admin/index.phpにアクセス - Apache は そのファイルを通常通り処理し、PHP が実行される
wp-admin/index.php→wp-admin/admin.phpが読み込まれ、admin.php内で WordPress コア関数auth_redirect()が呼ばれる- この関数が「ログインしていない」と判定すると、
wp_redirect( wp_login_url() ); exit;というコードにより、PHP側でwp-login.phpへリダイレクト - ブラウザが
wp-login.php?redirect_to=...に飛ばされる
という流れです。
つまり、一旦index.phpは開かれるわけです。ということは、wp-login.phpにいくらIPアドレス制限をかけても、制限をかけてないindex.phpはアクセスし放題なわけです。もちろん、index.phpで処理された結果転送されたwp-login.phpは開かれないですよ。でも、index.phpは開かれた後なので、ログには制限されているはずのIPアドレスが残るのです。
フォーラム: 使い方全般
返信が含まれるトピック: ログインページにIPアドレス制限をかけているのにすみません。もしかしてサーバがApacheと違って動作が異なるのであればすみません。
「FilesMatch なので、wp-adminというディレクトリやその文字列が含まれるファイルへのアクセスを意味するものだと思います。」とお書きなので、すみませんが、そのエビデンスを教えていただけませんか?
Apacheのドキュメンテーションでは、FilesMatchについて、「
<FilesMatch>ディレクティブは、<Files>ディレクティブ同様にその中にあるディレクティブの適用範囲をファイル名で制限します。」とあり、Filesディレクティブでは、「このセクション中のディレクティブは、ベース名 (ファイル名の最後の部分) が指定されたファイル名にマッチするすべてのオブジェクトに適用されます。」と、わざわざベース名と指定してパス名は排除しています。これを素直に読むと、「
FilesMatchは ファイル名だけ に適用。ディレクトリにはマッチしない。」となります。ディレクトリを指定したい場合は、<Directory>や<DirectoryMatch>ディレクティブを使用します。ただしこれは.htaccessでは使えないので、そのディレクトリに.htaccessを配置するということになりますが…。また、逆に説明すると、プラグインやテーマには、「admin-ajax.php」にアクセスするものがあり、アクセスできないと不具合が出ます。これがIPアドレスで制限がかけられていると、allow指定されていないIPアドレスから見ると、サイトに何らかの不具合が出るはずです。それがないということは、現状、wp-adminディレクトリにあるadmin-ajax.phpへは制限がかかっていないということになります。ということは、FilesMatchで指定しているwp-adminは機能していないということではないでしょうか。
フォーラム: 使い方全般
返信が含まれるトピック: ログインページにIPアドレス制限をかけているのにFilesMatchディレクティブの動作はまず、ファイル名に対して指定したものと合うかどうかを比較し、ヒットした場合には、ディレクティブ内のルールを適用します。よく似たのに、Filesディレクテイブがあり、これもファイル名に対して比較がはたらきます。これはどちらも、ファイル名に対して比較がはたらきます。ですからファイルではないwp-admin(ディレクトリ名)にはマッチしません。つまり、ご指定のディレクティブだと、
wp-admin/index.phpなどにはアクセスし放題です。また、そもそもサーバの設定で.htaccessでFilesMatchディレクトリが許されているのかどうか確認する必要があります。Apacheの場合なら、AllowOverride Allでないと、.htaccessのFilesMatchディレクティブは無視されます。
AllowOverride Allという前提で、wp-admin以下のファイルにアクセスできないようにするには、wp-adminディレクトリ内にディレクティブ指定しないで単純に
Order deny,allow
Deny from all
Allow from 1.1.1.1
Allow from 1.1.1.2とした上で、フロントエンドで動くプラグインやテーマのJavaScriptがアクセスする可能性の高い
admin-ajax.phpのみ制限を解除するように次の指定を続けます。<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>以上で、指定したIPアドレスのみがアクセスできるようになるでしょう。
なお、これでも改善しない場合、Sucuri がリモートのIPではなくてCDN経由のIPを拾っている可能性があります。Suc uriの動作は詳しくないので、他の人の答えに期待しましょう。
フォーラム: 使い方全般
返信が含まれるトピック: 変なコメントが何回も来る解決してなによりです。
まとめますと、スパムがいっぱい来るようになったので、その対処法としてドメインを変えることで解決したということですね。
しかしながら、おそらく新しいドメインでもそのうちスパムがいっぱい来るようになるでしょうけれど、その度にドメインを変えていくという、焼畑農業的運用をされていかれるということですね。😇
フォーラム: インストール
返信が含まれるトピック: 旧バージョン(3.5.2)からのバージョンアップ追加ですが、PHPに関していえば、8.0以下はすでにEnd of lifeを迎えており、セキュリティホールがあってもメンテナンスされない危険な状態です。(今日2025/03/23現在)また、8.1は2025年いっぱい、8.2は2026年いっぱいでEnd of lifeを迎えます。その辺りの事情も踏まえて、どのバージョンで運用するのかを決めましよう。
フォーラム: インストール
返信が含まれるトピック: 旧バージョン(3.5.2)からのバージョンアップこちらのページにWordPressとPHPの互換性が載っています。https://make.wordpress.org/core/handbook/references/php-compatibility-and-wordpress-versions/
(1)ですのでまず、php56でも動かせるWordPress6.2まで、段階的にWordPressをバージョンアップ
(2)そして、WordPress6.2まで上げたら、今度は、PHPをWordPress6.2が正規サポートしているPHP7.4までバージョンアップ
(3)次にPHP7.4で動かせるWordPress6.7まで段階的にバージョンアップ
(4)最後にPHPを7.4のまま置いておくか、例外付きサポートの8.2まで上げるか、あるいはベータサポート中の8.4にチャレンジするか決める。
こんな流れでいいと思います。ただし、これはあくまで本体の話。プラグインとテーマも絡んでくるので、こまめにバックアップをかましつつ、常に一つ前の状態に戻れるようにして進めてください。
ちなみにうちのお店のサイトは、PHP8.4で稼働しています。今のところ動作には問題なく、8.2に比べると、表示速度も早いので満足しています。とはいえ、あくまでベータサポート状態なので、8.4に上げるのは自己責任で(^^;;
フォーラム: プラグイン
返信が含まれるトピック: ワードプレス管理画面にお問い合わせフォームがない。10年以上むかしの話ですが、少しの間だけ、ホームページビルダー経由でWordPressを触っていました。当時は今よりWordPress自体のエディターが貧弱というか、HTMLの知識がないと色々できないような状態だったので、ホームページビルダーにもそこそこ需要があったのだと思います。
ところが今、ホームページビルダーのサポートがなくなっているのは、すでにWordPress自体のエディターが充実して、使いやすくなっているからとも言えます。だから、ホームページビルダーの需要がなくなってきたのでしょう。ですから、今が乗り換えどきだと思います。
あと一つ、「1.「インストールプラグイン一覧」に「Contact Form7」は表示されております。
ただ、送って頂いた添付画像の「設定」「無効化」「翻訳を更新」の場所には、当方の場合「有効化」と「削除」の二つしかありません。」とのことですが、WordPressのプラグインは、インストールしただけでは機能しません。ないのと一緒です。ですから、その時点ではメニューにも出てきません。有効化して、初めて機能し始めます。ですから、有効化の方をクリックすると、メニューに出てきます。
フォーラム: プラグイン
返信が含まれるトピック: Smash Balloon Instagram Feed 「ユーザーが見つかりませんでした」使っているのは、「Smash Balloon Instagram Feed」なんですね?そうであるなら、旧バージョンなので、最新版にバージョンアップしてから試してはどうでしょう。最新版は、「Smash Balloon Social Photo Feed」と、名前自体変わっています。
フォーラム: 使い方全般
返信が含まれるトピック: ダッシュボードとホームボタンを押すと・・・。ある意味これは、WordPressにめっちゃ関係ある質問だと思うのですよね。
「特に、何か変なことはした覚えがない」にもかかわらず、真っ赤な「危険なサイトです」が出ているということは、十中八九、クラキングされてマルウェアが仕込まれたと思っていいと思います。そうではないこともないわけではないかもしれませんが、やられてると思って対処すべきでしょう。
原因は、WordPressやテーマ、プラグインが更新されておらず、脆弱性がある状態であったか、あるいは、管理者のIDとパスワードが容易に想像できるものであったり、単純であったり、他のサイトやサービスと共有している組み合わせだったりしてそれが漏洩している場合などが考えられます。
対処としては、マルウェアを駆除してもろもろ最新版にメンテナンスして、IDパスワードを新しいユニークで難解なものに変える必要があります。
WordPressを運用する場合、セキュリティは意識して確保すべきだと思うのですよ。仕事で使っているサイトであるなら、お客さんの個人情報を扱うこともあるでしょうしね。