Crazy Bone (狂骨) バージョン 0.1.1

WordPressのデフォルトアカウント「admin」が狙われているという件で、当サイト及び私が携わっているWordPressサイトは全て、Google Authenticatorによる二段階認証に対策したのですが、面白いプラグインが話題になっているのでインストールしてみました。

WordPress › Crazy Bone « WordPress Plugins

機能としてはログイン履歴が残せるというものですが、ブルートフォースアタックの記録も残すらしいので、どれだけアタックを受けているか観察する意味と、純粋にログインログを残すという意味とで使ってみようと思った次第です。

使い方は簡単で、インストールして有効化するだけ。そうするとメニューの中に、「ユーザー>>ログイン履歴」という項目が増えてます。ここから全てのアカウントのログイン履歴を確認したり、任意のアカウントだけを表示させたりできます。日時、IPアドレス、ユーザーエージェント、OSの種類が記録されているみたいです。IPアドレスの割り当てから国旗アイコンを表示したり、OSのアイコンだったり、ブラウザのアイコンだったりして一目瞭然な配慮がにくいです。このプラグインの作者は日本人の様です。

一応、MySQL側をチェックしてみたところ、「wp_user_login_log」というテーブルが増えていました。ログ情報がまさにここに記録されているので、MySQLのテーブル構造的には「wp_usermeta」へごちゃまぜに記録されるよりは良かったと私は思います。めちゃめちゃ件数が増える可能性がありますからね。

前述の通り、既に二段階認証にしているので、ボット側がそれを避ける仕組みだと、当サイトにはアタックして来ない可能性はあります。しばらくこのまま運用して様子を見たいと思います。なんにしても様子が見える仕組みはできるだけ入れておいた方が良いと私は思っています。

Tiny Tiny RSSの検証

220px-Opensource.svg

Google Readerが7月にサービスを終了するって事で残り二ヶ月になってしまいました。RSSリーダーはもはや無くてはならないツールになっているので、「Feedly」を試したり他のRSSリーダー探したりもしたのですが、「Tiny Tiny RSS」の開発がにわかに活気づいているらしいので一度試して見ることにしました。

検証環境は、Webサーバー(Apache等)、PHP、SQLサーバー(MySQLかPostgreSQL)があればオッケーです。PleiadesのXAMPPでやろうと思ったところ、PHPのバージョンが旧いって言われたので、仕方なく最新のXAMPPポータブル(Windows版)をダウンロードしてWindows7上で試しました。

WordPressなんかのCMSをインストールしたことがあるなら、特に何つまづきもなくインストール出来ると思います。公式のインストール手順(英語)を読めばわかりますが、デフォルトアカウントは「admin」で「password」でした。レンタル・サーバー等、ネットからアクセス出来る環境にインストールしたならば、ソッコーでアカウント名とパスワードを変更しておきましょう。

さて、私が直感的にわからず検証できなかったのはカテゴリー作成の方法でした。アチコチ探した末ようやくみつけました。「操作」-「Preference」-「フィード」-「Categories」-「Add Category」から行えました。

Google ReaderからOPMLで書き出して、「subscriptions.xml」をTiny Tiny RSSのフィードから読みこめば、あっという間にGoogle Readerクローンの出来上がり。自前ですからデータはどんどんデータベースに蓄積されていきますけどね。Googleがサービス廃止にしたのも、このデーター量が半端無くなったのが一つの原因かも知れませんね(利用価値のあるデータなら喜んで使うでしょうが重複しまくりですからね)。

後は極めて良好というか、考えて作られているなという印象を強く受けます。AJAXを使ったリッチなUIも悪くない感じです。個人的には「Feedly」よりもこっちの方かな。きっと弾みがついてもっと開発が進むだろうし(期待しときましょう)。

欲を言えば、IFTTTと連携してくれたら言う事無いけど、RSSフィードの書き出し機能を使えば可能なのかな?この辺りももう少し仕様をきちんと調べてみなきゃわからない。もう少し検証環境に置いておこうと思っています。

ただ、本採用の前に、アップデートの仕組みをしかりと調べてみなきゃならないと思っています。Githubで公開されているので最新版のソースはこまめに追いかけられますが、更新手順が面倒なら最初からGitで管理しとかなきゃもったいないですからね。

GroupSessionのバージョンアップ(Ver.4.1.2)

gsession_logoJavaで開発されているOSS系のグループウェア「GroupSession」のバージョンアップVer.4.1.2がアナウンスされました。このグループウェアとは付き合いが長いのでS-Factoryとしてはウォッチして追従して行ってます。

リリース履歴(4.1.2) | 無料グループウェア Group Session

機能的にはショートメールのチューニングにより処理速度の向上、後は前バージョンで見つかったバグの修正ですね。特に新しい機能の実装はありませんので、安定期に入ってきた感じでしょうか。

個人的には新機能でバグが出るよりは、じっくりバグを取ってから安定稼働させておいて、新機能をリリースして欲しいのですが、このグループウェアはOSSなので、バグ出しもリリースしてから現場からのフィードバックでというのが今までの開発のやり方だと思っています。要するにバグ出し(レポート)をお手伝いする代わりに無料で使わせていただいているって感じですね。

私自身、Java開発言語での開発が全く出来ないに等しいので、難しいことはフィードバック出来ないのですが、バグ情報はいくつか過去に報告しています。適切に報告するとバグだと認識してもらって不具合情報に追加され、次のバージョンでバグが解消されてくるという恩恵が受けられます。

GroupSessionは比較的運用管理しやすいグループウェアですので、グループウェアを比較する際には是非候補に入れていただきたいものですね。個人的には結構気に入ってます。

Google Authenticatorを使う為に

GoogleAuthWordPressでGoogle二段階認証システムのコード生成ツールを活用する為のプラグイン「Google Authenticator」を導入する方法はネット上に沢山あります。日本語の情報も沢山あるので導入の手順等については今更記すつもりはありません。

1つだけ多くのサイトを読んだだけだと誤解してしまう点があるので先々の自分の為にも補足的にコメントしておきます。

続きを読む

WordPressサイトが狙われ続ける(Google二段階認証でセキュアに)

GoogleAuth先日、当サイト、及び私が関与しているWordPressで稼働しているサイトは、全て「Google Authenticator」というプラグインを使って、Google二段階認証サービスを連携させてしまいました。

クライアントのサイトはもちろんクライアントのスマートフォンにアプリをインストールして頂いて、Google認証システムのコード生成を導入していただいたのですが、自分で運用している複数サイトにそれぞれGoogle認証システムのコード生成をもたせていると、ジェネレーターの管理がめんどくさくなって来ました。どのサイト用だったっけな?と迷うんですよね。

いっその事、自分専用なんだから一つで良いんじゃね?って思ったので、Google Authenticatorの設定にある、「Secret」という項目に着目しました。Create New SecretというボタンをクリックするとSecretコードが生成されます。これを鍵にしてGoogle認証システムを利用しているものだと推測しました。まだこのレベルのソースコードは読めないので実際に検証してみるしかないですね。

続きを読む