WordPressサイトが狙われ続ける(Google二段階認証でセキュアに)

GoogleAuth先日、当サイト、及び私が関与しているWordPressで稼働しているサイトは、全て「Google Authenticator」というプラグインを使って、Google二段階認証サービスを連携させてしまいました。

クライアントのサイトはもちろんクライアントのスマートフォンにアプリをインストールして頂いて、Google認証システムのコード生成を導入していただいたのですが、自分で運用している複数サイトにそれぞれGoogle認証システムのコード生成をもたせていると、ジェネレーターの管理がめんどくさくなって来ました。どのサイト用だったっけな?と迷うんですよね。

いっその事、自分専用なんだから一つで良いんじゃね?って思ったので、Google Authenticatorの設定にある、「Secret」という項目に着目しました。Create New SecretというボタンをクリックするとSecretコードが生成されます。これを鍵にしてGoogle認証システムを利用しているものだと推測しました。まだこのレベルのソースコードは読めないので実際に検証してみるしかないですね。

続きを読む

WordPressサイトのadminアカウント狩り

WordPressを良く使っている身としては嫌なニュースを読みました。特にデフォルトユーザー名「admin」のまま使用しているWordPressサイトが狙われているそうです。

全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている | TechCrunch Japan

ちなみに私のサイトはadminというユーザー名は使っていません。更に表示名も私の名前にしているので表示名でアタックされてもそのユーザー名は存在しません。その点では少し安心です。

辞書にも無いハズの造語をユーザー名にしているので辞書アタックでも多分大丈夫です。しかし、総当りでこられるといずれクラックされてしまう可能性はあります。

続きを読む

EC-CUBE 2.4系のカスタマイズ

eccube-logoEC-CUBE2.4系をカスタマイズして使用している知人から相談を受けて、送料の扱いをEC-CUBE標準では対応出来ないパターンに対応させました。

ヒントとなるカスタマイズポイントは、EC-CUBEの公式カスタマイズ本(青本)に書いてあったので、その部分を修正することと、後は実現したい内容を整理すると、極々単純な計算式に修正するだけで行けるという事がわかったので、実際のカスタマイズはEC-CUBEの構成ファイル3つを少し修正するのと、データベースに一つレコードを追加するだけでOKでした。これらの検証はWindows上にインストールしたPostgreSQL+Apache/PHP+phpPgAdminの環境で簡単に行えました。簡単な検証ならXAMPPでも良いかも知れませんね。

続きを読む

Windows7環境でPostgreSQL

PostgreSQLは今までずっとLinuxサーバー上に構築してきたので、Windows版を使った経験が無くて敬遠していた所があったのですが、EC-CUBEのテストをやりたいのでPostgreSQLをローカル環境で使いたくて試してみたところ簡単に構築出来てしまいました。

pgAdmin-IIIPostgreSQLのWindows版をインストールするのは、コレといってどうという話でも無いのですが、インストーラに「スタックビルダ」というものが付属されていて、試しにオプションを確認してみたところ、Apache/PHPという項目と、phpPgAdminという項目があるではないですか。選択するとネット経由で当該インストーラをDLしてくる仕組みらしいですが、PostgreSQLをインストールしたPATHを案内してやるだけで後はお気軽インストール。

続きを読む

EC-CUBEカスタマイズ

プログラミングは本業ではないのですが、EC-CUBEのカスタマイズの依頼が軽く来ているので、今後の事も考えて正統派なやり方を学んでおこうと、書籍に従って環境づくりから開始です。

この本で紹介されている、Pleiades All in One PHPという、EclipseにPHP開発に必要なプラグインが適用済みなWindowsプラットフォーム向けのオールインパッケージを使います。Apache、MySQLなども含まれているのでローカル(Windows上)でEC-CUBEを稼働させながらカスタマイズ作業が行えます。

さて、まずは書籍の通りに手順をさらってから、とっとと本来の目的に突入したいであります。環境の構築から、カスタマイズ例、サーバーへの導入方法などひと通り解説してくれています。もちろん内容的にPHPの詳しい解説なんてのは省かれていますから、PHPやSmartyについての理解は別途頑張るしかありませんね。

余談ながらPHPについての基礎知識と応用知識は、ドットインストールで無料動画を見ながら手軽に学習出来ます。大枚はたかずとも学習できるなんて・・・私がプログラミングを始めた時はとりあえずコンパイラやら書籍やらで環境揃えるのに最低10万円は必要でしたからね・・良い時代になりました。