ルミーズ決済に関するトラブル

本日はECサイトを運営しているクライアントさんからの相談で、クレジットカード決済と連携する部分でエラーが出る不具合の対応をしました。結局、決済連動の部分のプログラムが更新されたらしく、その関係でカード決済連携の為の追加された設定項目への入力が不十分だったのが原因でした。設定を調整してカード決済良好に。

それと、決済会社が提供している「提携サイト証明バッヂ」が表示されなくなってしまったという事もクライアントさんから相談いただいていて、これについてはカード決済会社の技術の人と電話で話したら、そのサービスは廃止になったという事でした。提携サイト証明のバッヂを表示するJavaScript(一種のブログパーツ)を削除して下さいと、クライアントへはメールで通知が来ていた様です。

remise_sps

技術系の通知は見落としというか、放置されている傾向が強く、Google様で検索してみると、同様のバッヂが表示されなくなっているECサイトが沢山あるある(w

ルミーズ サイトの所在を確認して下さい – Google 検索

こういうサイトの運営者さんって、システム系の話はよく分からないって話で見なかった事にしてるんだろうなぁ。それになによりも当該ECサイトが利益を上げているのか(継続営業中なのか)が重要なところ。放置プレイされているECサイトもありそうだし。

ルミーズロゴプログラムは終了したみたいです。

ルミーズロゴプログラムは終了したみたいです。

ルミーズ決済導入時に表示されていた上記バッジが表示されなくなったのは、ルミーズ決済が「ルミーズロゴプログラム」を廃止したからです。リンクをクリックしたらエラー表示されるという症状からも確認出来ます。

ちなみにこのサービスは、ルミーズとしては有料で提供しているそうなので、継続利用を希望するなら追加料金が発生します。

放置してても支障はないですが、お客さん視点では見た目でちょっとこのショップ大丈夫?って気持ちにはなりますね。まずはルミーズさんに問い合わせて詳しくサポートを受けるのが本道ですね。

ちょっと営業活動的にコンタクトしてみようかなぁ・・

でもお節介と受けとられるのもヤだなぁ。という訳でアクションは起こさないことにします。ご依頼を受けたらもちろん対応させていただきます。

S-Factory | Facebook Pageより

Crazy Bone (狂骨) バージョン 0.1.1

WordPressのデフォルトアカウント「admin」が狙われているという件で、当サイト及び私が携わっているWordPressサイトは全て、Google Authenticatorによる二段階認証に対策したのですが、面白いプラグインが話題になっているのでインストールしてみました。

WordPress › Crazy Bone « WordPress Plugins

機能としてはログイン履歴が残せるというものですが、ブルートフォースアタックの記録も残すらしいので、どれだけアタックを受けているか観察する意味と、純粋にログインログを残すという意味とで使ってみようと思った次第です。

使い方は簡単で、インストールして有効化するだけ。そうするとメニューの中に、「ユーザー>>ログイン履歴」という項目が増えてます。ここから全てのアカウントのログイン履歴を確認したり、任意のアカウントだけを表示させたりできます。日時、IPアドレス、ユーザーエージェント、OSの種類が記録されているみたいです。IPアドレスの割り当てから国旗アイコンを表示したり、OSのアイコンだったり、ブラウザのアイコンだったりして一目瞭然な配慮がにくいです。このプラグインの作者は日本人の様です。

一応、MySQL側をチェックしてみたところ、「wp_user_login_log」というテーブルが増えていました。ログ情報がまさにここに記録されているので、MySQLのテーブル構造的には「wp_usermeta」へごちゃまぜに記録されるよりは良かったと私は思います。めちゃめちゃ件数が増える可能性がありますからね。

前述の通り、既に二段階認証にしているので、ボット側がそれを避ける仕組みだと、当サイトにはアタックして来ない可能性はあります。しばらくこのまま運用して様子を見たいと思います。なんにしても様子が見える仕組みはできるだけ入れておいた方が良いと私は思っています。

Google Authenticatorを使う為に

GoogleAuthWordPressでGoogle二段階認証システムのコード生成ツールを活用する為のプラグイン「Google Authenticator」を導入する方法はネット上に沢山あります。日本語の情報も沢山あるので導入の手順等については今更記すつもりはありません。

1つだけ多くのサイトを読んだだけだと誤解してしまう点があるので先々の自分の為にも補足的にコメントしておきます。

続きを読む

WordPressサイトが狙われ続ける(Google二段階認証でセキュアに)

GoogleAuth先日、当サイト、及び私が関与しているWordPressで稼働しているサイトは、全て「Google Authenticator」というプラグインを使って、Google二段階認証サービスを連携させてしまいました。

クライアントのサイトはもちろんクライアントのスマートフォンにアプリをインストールして頂いて、Google認証システムのコード生成を導入していただいたのですが、自分で運用している複数サイトにそれぞれGoogle認証システムのコード生成をもたせていると、ジェネレーターの管理がめんどくさくなって来ました。どのサイト用だったっけな?と迷うんですよね。

いっその事、自分専用なんだから一つで良いんじゃね?って思ったので、Google Authenticatorの設定にある、「Secret」という項目に着目しました。Create New SecretというボタンをクリックするとSecretコードが生成されます。これを鍵にしてGoogle認証システムを利用しているものだと推測しました。まだこのレベルのソースコードは読めないので実際に検証してみるしかないですね。

続きを読む

WordPressサイトのadminアカウント狩り

WordPressを良く使っている身としては嫌なニュースを読みました。特にデフォルトユーザー名「admin」のまま使用しているWordPressサイトが狙われているそうです。

全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている | TechCrunch Japan

ちなみに私のサイトはadminというユーザー名は使っていません。更に表示名も私の名前にしているので表示名でアタックされてもそのユーザー名は存在しません。その点では少し安心です。

辞書にも無いハズの造語をユーザー名にしているので辞書アタックでも多分大丈夫です。しかし、総当りでこられるといずれクラックされてしまう可能性はあります。

続きを読む