のむらけい (Kei Nomura)
フォーラムへの返信
-
フォーラム: バグ報告と提案
返信が含まれるトピック: wordpress 5.4.1 からの障害について他のトピックにも回答しましたが、参照する人が多そうなのでこちらにも転記します。
この変更がなされた理由について、@ishitaka さんがTwitterで以下の情報を教えてくださいました。Unpacking The 7 Vulnerabilities Fixed in Today’s WordPress 5.4.1 Security Update
https://www.wordfence.com/blog/2020/04/unpacking-the-7-vulnerabilities-fixed-in-todays-wordpress-5-4-1-security-update/This indicates that it was possible for an attacker to view private posts by using date and time-based queries, though only for protected posts that were created or updated at the exact same time, down to the second, as an unprotected post.
また、英語版フォーラムで、コミッターご本人からの回答もありました。
https://wordpress.org/support/topic/why-class-wp-query-php-was-changed-in-wordpress-5-4-1/2つの情報をまとめると、同じ日付/時間/分/秒で公開された複数の投稿が存在する可能性があるためクエリ判定条件として適切ではないこと、また実際に複数の投稿があって2件目以降に非公開記事があった場合、非公開状態のものが見えてしまう問題があるための修正とのことです。
セキュリティー上の問題がある以上、この変更が戻されることはないと思われますので、それぞれのブログの運用状況を考慮しつつパーマリンクの再検討はすべきかと思います。
その後、@ishitaka さんがTwitterで以下の情報を教えてくださいました。
Unpacking The 7 Vulnerabilities Fixed in Today’s WordPress 5.4.1 Security Update
https://www.wordfence.com/blog/2020/04/unpacking-the-7-vulnerabilities-fixed-in-todays-wordpress-5-4-1-security-update/This indicates that it was possible for an attacker to view private posts by using date and time-based queries, though only for protected posts that were created or updated at the exact same time, down to the second, as an unprotected post.
また、英語版フォーラムで、コミッターご本人からの回答もありました。
https://wordpress.org/support/topic/why-class-wp-query-php-was-changed-in-wordpress-5-4-1/2つの情報をまとめると、同じ日付/時間/分/秒で公開された複数の投稿が存在する可能性があるためクエリ判定条件として適切ではないこと、また実際に複数の投稿があって2件目以降に非公開記事があった場合、非公開状態のものが見えてしまう問題があるための修正とのことです。
セキュリティー上の問題がある以上、この変更が戻されることはないと思われますので、それぞれのブログの運用状況を考慮しつつパーマリンクの再検討はすべきかと思います。
同様の問題が複数サイトで確認されており自分も調べていましたが、水野さんが以下トピックで回答している通りで、もともと日時のみのパーマリンクは非推奨だったけど表示できてて、今回ちゃんとダメになったということのようです。
https://ja.wordpress.org/support/topic/wordpress-5-4-1-%e3%81%8b%e3%82%89%e3%81%ae%e9%9a%9c%e5%ae%b3%e3%81%ab%e3%81%a4%e3%81%84%e3%81%a6/将来的なことを考えると問題ないパーマリンクに変更するのが理想ですが、すでに長らく運用しているサイトの場合、パーマリンクを急に変えるリスクが高いことも理解します。
とくにはてなブログからWordPressへの移行サイトで当該のパーマリンク構造を採用しているケースが多いようです。その歴史を考えると、簡単に「パーマリンクを変えてください」とも言いづらいです。かといってセキュリティーの観点から本体のダウングレードもおすすめしないので、あくまで適切にパーマリンクを変える準備のための時間稼ぎとしては、/wp-includes/class-wp-query.phpのみを5.4のもので置き換えると早いです。
※ただし、あくまでプログラムの知識のない方が一時的に応急処置をするために仕方なく紹介する方法であり、決してコアファイルの改変を推奨するものではないことをご理解ください。
取り急ぎサイトが復旧したら、今後困らないようにリダイレクトの準備などしっかり整えたうえで、パーマリンクの変更を検討してください。
どうしてこのような変更がされたのか引き続き調べてみます。フォーラム: 使い方全般
返信が含まれるトピック: 他社ドメイン移管時の「Maintenance Mode」の使用についてドメインの切り替わるタイミングはいろいろな条件によって異なります。
今回の移行作業がネームサーバーの切り替えを伴うのか、DNSレコードの書き換えのみで済むのか、
現在ドメインを管理しているのはどこなのか、
そのあたりによって変わってきます。ただ、
「Maintenance Mode」が正常に動作するのかどうか
ということのみに関してお答えするならば、「WordPressの設置サーバーがちゃんと正しく稼働している限りは、ドメイン切り替えに関係なく特に問題なく動作する」という回答になります。
##
ところで、「ドメイン移管」と「ネームサーバの切り替え」もしくは「DNSレコードの書き換え」を混同していませんでしょうか?
カラーミーショップでは、ドメインを移管するサービスを行っていません。ですので、webmanager00 さんが今回行うのは「ドメイン移管」ではなく「ネームサーバーの切り替え」もしくは「DNSレコードの書き換え」だと思います。これのどちらなのかによって、切り替えにかかる時間はかなり変わってきます。
独自ドメインの反映まで24〜72時間かかり、その間サイトが閲覧できないこともあるということです。
とのことですが、別に24〜72時間の間、宙ぶらりんの状態が発生しているわけではなく、この間のどこかのタイミングでWP→カラーミー が切り替わります。「24〜72時間」とか「サイトが閲覧できないこともある」というのは、サービス側が慎重を期してそう書いていることが多いです。
いずれにせよ、その部分はWordPress側は関係ないので、切り替え手順に不安があれば、カラーミーもしくはドメイン管理サービス側のサポートを仰ぐことをおすすめします。- この返信は1年、 6ヶ月前にのむらけい (Kei Nomura)が編集しました。
フォーラム: 使い方全般
返信が含まれるトピック: WordPressのアプリの不具合なんだか話の流れがあっちこっちに広がっているようですが、元々の問題は
写真や文字などをアプリから編集して保存すると、
記事の文字が全て詰まって表示されてしまいます。ということでしたよね。
私の推測では、SEALというテーマと、Androidアプリの相性があまり良くないのではないか?という気がします。(バグではなく)
ただ、実際のサイトを見ることができませんし、有償テーマのため同じ環境をこちらで用意することもできないので、それを裏付けるすべがありません。いったん、Twenty Nineteenなど、WordPress公式ディレクトリのテーマに変更したうえでアプリから更新をお試しいただき、「文字が詰まる」という現象がSEAL以外のテーマでも起こるかどうか、確認してみてください。
もし、Twenty Nineteenでは大丈夫で、SEALではその現象が起こるようであれば、SEALの開発元に状況を報告して対応を依頼してください。フォーラム: 使い方全般
返信が含まれるトピック: MW WP Formの戻るについて設定項目の「画面変遷時のスクロールを有効にする」にチェックを入れることで対応できませんか?
フォーラム: テーマ
返信が含まれるトピック: テーマファイルにフォルダをアップロードしたい初回にテーマをアップロードした際はどういったやり方でされましたか?
もし管理画面からzipファイル等でアップした場合は、ファイル1枚だけ追加…というのはできないので、FTP接続を使うか、いったん今使っているテーマとは別のテーマとして全ファイルをzipにしてアップする必要があります。フォーラム: 使い方全般
返信が含まれるトピック: MW WP Formでのページリンクについて「英語モード」と記載ですが、サイトの多言語化のために何らかのプラグインをお使いでしょうか?
そういったものの影響を受けているおそれがあります。
特殊な状況である可能性があるため、できるだけサイトの状況・情報を詳しく添えていただくと的確な回答が付きやすいと思います。フォーラム: その他
返信が含まれるトピック: 作成後のトピックページが見つかりません確認したところ、システムによって誤ってスパム判定されておりました。原因は不明ですが、
– あまりに長い投稿
– 長いURLやスパム判定されやすい語句を含む
– 誰かが「スパム報告」を押してしまった
などが考えられます。(複合要因かも)
システムも万能ではなく、たまにはこういうことがありますので、今回のようにご報告いただけると大変助かります。内容を確認したところ、とくに問題ないようでしたのでモデレーター権限でスパム判定を解除しました。
よろしくお願いいたします。フォーラム: プラグイン
返信が含まれるトピック: MW WP form ショートコードがそのまま表示されてテンプレートだと正常に表示され、動くので、ますます不思議です。
たしかに不思議ですね…
あとは、初歩的ですが、フォームのIDが違っているとか、スペル間違いとか…
新規でもうひとつフォームを作成してもそうなるのか…
あたりは気になります。フォーラム: 使い方全般
返信が含まれるトピック: カスタム投稿タイプとカスタムタクソノミー を追加しあと設定されるスラッグを同じにする方法について質問です。基本的なところの確認ですが、「スラッグを同じにしたい」理由は何でしょうか、「URLをカスタマイズしたい」のでしょうか?
スラッグの重複は意図しない挙動、404エラーなどの原因になりますので避けましょう。URLに使われる文字列を投稿タイプやタクソノミー名とは別にしたい場合は
'rewrite' => true
じゃなくて
'rewrite' => array( 'slug' => 'hoge', ),
とかにするとカスタマイズできます。(投稿タイプ、タクソノミーとも)ただここで投稿タイプとタクソノミーのリライトスラッグを同じにした場合に、おそらく意図するページ内容が正しく表示されないのではないかと思います。(恐ろしくて自分では実践したことがないため推測ですが)
もし実現したいことがURLのカスタマイズである場合は、その旨を記載して具体的にどういう形を実現したいのかを明示したほうが良いと思います。(ただしパーマリンクカスタマイズは茨の道なのでそれなりの覚悟で臨んでください…汗)
URLが関係ない場合は、スラッグを同じにしたい理由を教えてください。理由次第では代替案を考えることができますので。
フォーラム: プラグイン
返信が含まれるトピック: 自作でプラグインからクラシックエディタにプルダウンを入れたい。テーマから入れる方法が見つかったのであれば、同じ記述をプラグインファイルとして保存して有効化すれば同じ結果になるような気がしますが、それではうまくいきませんか?
具体的な方法が書かれていなくて、完成形がどういう形になるのかなかなかイメージしづらく回答が付きづらい状態だと思います。
見つけた「テーマから入れる方法」を記載いただければそれを元にヒントをくださる方もあるかもしれません。フォーラム: プラグイン
返信が含まれるトピック: MW WP form ショートコードがそのまま表示されて手がかりになる情報が少なく、これだけではなんとも言えません。
他のプラグインのショートコードでも同様の問題が出るのか、当該プラグインだけなのかを一度調べてみてはいかがでしょう?
個人的な経験では、– 旧投稿画面でHTMLエディターではなくビジュアルエディター上で貼っていて、何らかの原因で文字列に変換されていた
– サーバ環境の違い
– テーマ側の問題(一旦Twenty Nineteen別などのテーマにして問題が再現するか確認)
– 入っているプラグインの違いあたりが考えられますが確証はありません。
フォーラム: プラグイン
返信が含まれるトピック: WPでユーザーの訪問回数ごとに表示バナーを変更させることは可能ですか?可能だとは思いますが、WordPressnの標準機能ではないですし、そのものズバリのプラグインが存在するかも分からないので、自分でプログラムを書く必要があると思います。
例えば訪問回数のカウントであれば、JavaScriptでもPHPでもいいですが、Cookieを使ってやる方法が比較的ベーシックかな?と思います。
参考
https://www.pazru.net/js/cookie/1.html
https://magnets.jp/web_design/4897/
https://algorithm.joho.info/programming/php/cookie-visited-count/具体的にどうプログラミングするかまではWordPressの機能の話ではなくなってきて、このフォーラムのサポート範囲を超えてしまいますのでご自身で考えていただく必要がありますが、何らかのヒントになれば幸いです。
フォーラム: 使い方全般
返信が含まれるトピック: ビジュアルエディタでジャバスクリプトを入れたいバージョン5.0以降のブロックエディターではなく、以前からのクラシックエディターのビジュアルモードをお使いだと仮定しますが、ビジュアルエディターのままソースコード(含むJavaScript)を貼ることはできません。無害化処理が入り、開始タグなどの記号部分が変換されます。
いずれにせよHTML等の知識のない方がビジュアルエディター部分にコードを貼ることでレイアウトが崩れたり、思わぬ事故が起こるおそれがあります。
例えばこのようなプラグインを使って、コンテンツエリアとは別にスクリプトを貼り付ける入力欄を用意してあげるのが親切だと思います。
https://wordpress.org/plugins/header-and-footer-scripts/
類似のプラグインは公式ディレクトリにたくさん登録されていますので、使い勝手の良いものを探してみてください。