コメントスパム対策にCaptchaをインストール

お陰様でというか、SEO的に細工した甲斐があったのか、サイトオープンから半年以上はS-Factoryという言葉では、Google検索のランク外だったりもした訳ですが、今では2位に表示される様になったし、私が書いたエントリーも検索結果で見かけることも多くなりました。調べたい事を検索してみたら知りたかった内容を書いてあるのが自分のエントリーだったりとかすると、「あれ?こんなこと経験済みだったっけか?」・・・という感じで忘れてる事も結構多いのが実情です。

さて、そんな当サイトも、検索エンジンの上位に表示される様になったおかげで、スパムコメントも多く届くようになりました。ちなみにAkismetが防御してくれているので、基本的にはサラッとチェックしながら削除するだけなんですが、大切なコメントが埋もれている可能性もあるのでリスクは避けたいなと。

akismet-20130908

これだけ大量にスパムコメントが来るとなると、恐らく巡回するアプリを使っての事だと思うので、いっちょめんどくさい仕組み(Captch)をかましてみることにしました。

続きを読む

ロリポップサーバーがEC-CUBEホスティング公式認定

昨晩、クライアントからのご相談があり、訪問してミーティングをして来たのですが、その話の主要な内容として、某ショッピングモールへの出店したまま、自社サイトを運用開始して徐々に自社サイトへシフトさせたいという話がありました。

現在ロリポップサーバーでチカッパプランをお使いなので、運営費用的な事、取り扱っている商品の販売のしかた、サイト管理のしやすさ(商品登録、注文内容、メルマガなど)を考慮して、EC-CUBEが一番使いやすいのではないかというお話をして来たばかりでした。

ただし共用サーバーで、しかも格安サーバーに類するロリポップサーバーでのEC-CUBEの稼働パフォーマンスは検証した事が無いので、実際にインストールして使ってみないと分からない状態でもありました。ロリポップサーバー以上で使用できるMySQLでの利用が条件となりますが、ロリポップの上位プランであるチカッパプランであればEC-CUBEの要件はパスしています。昨晩の話では検証してみましょうという話で落ち着きました。

そこへ今日、ロリポップからお知らせが入り、EC-CUBEのオフィシャルホスティングパートナーに認定されたという情報が入ってきました。EC-CUBEで検証してみましょうという話をしたばかりだったので、このタイミングでオフィシャル認定されたという情報は、信頼性面でユーザーとしてはかなり安心する要素となるのではないかと思います。何しろまだEC-CUBEがどの様なものか使っていただいていないのですから。

EC-CUBEオフィシャルホスティングパートナーになりました! / 新着情報 / お知らせ – レンタルサーバーならロリポップ!

続きを読む

WADAXでサーバー引越し

WADAXWADAXをお使いのクライアントのCMSが、PHP、MySQL、PostgreSQLのバージョンに条件があり、現在のサーバー環境では条件をクリア出来なくなってしまったということで、バージョンアップ出来なくなっていました。CMSの脆弱性は結構問題ですので、なんとかならないかとのご依頼を受けて調査をし作業を完了しました。

まずクライアントがお使いのWADAXに問い合わせたところ、PHP、MySQL、PostgreSQLが新しいサーバーへの引越し先の準備は無償で対応してくれるという事でした。1ヶ月の猶予期間を設けるので、その間に現行サーバーに加えて引越し先サーバーの検証をして下さいとの事。検証OKになったら、DNSの切り替え依頼をいただければ対応しますという事なので申請フォーム(FTPパスワード入力欄有り)から要望を書いて申請です。

クライアントさんは、ECシステムのと、Blogシステムを併用していたので、CMSを2つ引越しさせる作業となりました。データベースがMySQLとPostgreSQL両方使っているのでちょいと面倒と言えば面倒ですね。でもこれは普段から触れてないと忘れてしまうのでたまにこういう依頼をいただくと私にとってもちょうど良いのです。

続きを読む

WordPressのadminアカウントアタックまだ続く

WordPressのAdminアカウントへのアタックが未だに続いています。
WordPressにはログイン履歴を残すプラグイン、「Crazy Bone」という素晴らしいアプリがあります。ログイン成功、失敗、ユーザー名が存在しないなどのログを残してくれますし、失敗したパスワードも残してくれています。

ここいらでちょっと傾向をみたくてSQLからエクスポートして、UNIQしてみました。結果的にはアカウント名は全て「admin」でアタックされていて、パスワードは色々なパターンで何度もアタックされているので、パスワードだけソートしてユニーク抽出してみました。

WordPress adminアタックパスワード

パスワードのユニーク抽出で495パターンありました。ロシア語みたいなのは文字化けしちゃったので要らないかなと思って削除しました。当サイトには「admin」というアカウントは最初から作っていませんし、ワンタイムパスワードの二段階認証にしているのでそう簡単には突破されないと思います。もちろんWordPressの脆弱性なんかを突かれると防御出来ない可能性もあるので、アップデートには追従していかなくてはなりません。

WADAXレンタル・サーバー(共用)の引越し

WADAXWADAXレンタル・サーバー(共用プラン)をお使いのクライアントさんから、WordPressのバージョンアップが出来ないという内容でご相談を受けました。ドメイン名からサーバーの環境を調べてみたところ(WADAXはサーバー番号毎の環境を公表しています)、MySQLがバージョン4系で古い為にWordPressのバージョンアップが追従出来なくなってしまった事が判明しました。

実際にWordPressにログインさせて頂いて確認もしましたが、やはりMySQLのバージョンが古いのが原因だと判明しました(エラーメッセージにて確認)。オープンソースのCMSでバージョンアップに追従出来ないのは、脆弱性を抱えたままの運用になるのでで問題です。

それとログイン時に判明したのは、WordPressのアカウントが今話題になっている「admin」だったことです。WordPressの「admin」アカウントがアタックを受けてる事もあり、その辺りからご説明し、早急にadminアカウント名を変更し、更にGoogle認証の仕組みを利用するプラグインを導入し、Androidスマートフォンでワンタイムパスワードを生成して毎回ログイン時に通常のパスワード+ワンタイムパスワードを入力していただくように対策しました。幸い入られた痕跡は無さそうですがここも、移行テストの段階でチェックしておかなくてはなりません。

WADAX

さて本題のWADAX共用サーバーの引越しです。
私はWeb系の事業を行う会社でシステム寄りの仕事をしていた事もあるので、WADAXは使ったことがあります。その経験も踏まえて比較的親切なレンタル・サーバーだと評価しています。

今回課題となるのは「共用サーバー」という点です。共用サーバーというのは、住宅で例えればアパートとかマンションの様なものです。外壁が古いから改修工事とか、鉄骨をもっと頑丈なものに変えたいとか、免震構造にしたいとか、そういう事が一軒家の様には自由に出来ません。厳密には出来ないというよりは、居住者の意見が完全一致する事はまずあり得ないのでそういう事は不可能でしょう。

現実問題としては、新しい建物に引っ越すことになるのですが、これがWADAXで言うところの別のサーバーへの移行という事になります。住宅で言えば新しく建築された最新の建築構造をしたアパートやマンションへ引越しという事ですね。

続きを読む