WADAXでサーバー引越し

WADAXWADAXをお使いのクライアントのCMSが、PHP、MySQL、PostgreSQLのバージョンに条件があり、現在のサーバー環境では条件をクリア出来なくなってしまったということで、バージョンアップ出来なくなっていました。CMSの脆弱性は結構問題ですので、なんとかならないかとのご依頼を受けて調査をし作業を完了しました。

まずクライアントがお使いのWADAXに問い合わせたところ、PHP、MySQL、PostgreSQLが新しいサーバーへの引越し先の準備は無償で対応してくれるという事でした。1ヶ月の猶予期間を設けるので、その間に現行サーバーに加えて引越し先サーバーの検証をして下さいとの事。検証OKになったら、DNSの切り替え依頼をいただければ対応しますという事なので申請フォーム(FTPパスワード入力欄有り)から要望を書いて申請です。

クライアントさんは、ECシステムのと、Blogシステムを併用していたので、CMSを2つ引越しさせる作業となりました。データベースがMySQLとPostgreSQL両方使っているのでちょいと面倒と言えば面倒ですね。でもこれは普段から触れてないと忘れてしまうのでたまにこういう依頼をいただくと私にとってもちょうど良いのです。

続きを読む

Tiny Tiny RSSをVPS上に設置

Google Readerのサービス終了まで一週間を切りました。試験的にWindowsPC上でTiny Tiny RSSを使っていましたが、概ね良好なので、VPS上に設置して運用を切り替えることにしました。余裕をもってGoogle Readerとはサヨウナラです。

Tiny Tiny RSS(TT-RSS)には、IDとパスワードによる通常の認証の後、Google認証による二段階認証の仕組みが実装されているので、Androidスマートフォンを持っていれば、二段階認証を容易に使用出来るので、セキュリティ面でもワンランクアップ出来ます。

個人的には、デフォルトの見た目が見づらいので、CSSをいじるなどして少しずつカスタマイズしていますが、今後のTT-RSSのバージョンアップの流儀が分からないので、大幅なカスタマイズは今のところ我慢しています。

なんだかんだ言ってもRSSフィードは情報収集の手段としてかなり有効ですから、こういうツールがOSSで提供されているのはありがたい事です。まだ日本語ローカライズが不十分だったりして使い勝手も改善の余地ありですが、十分にパーソナルなRSSリーダーとして活躍してくれるのではないかと期待しています。

WordPressのadminアカウントアタックまだ続く

WordPressのAdminアカウントへのアタックが未だに続いています。
WordPressにはログイン履歴を残すプラグイン、「Crazy Bone」という素晴らしいアプリがあります。ログイン成功、失敗、ユーザー名が存在しないなどのログを残してくれますし、失敗したパスワードも残してくれています。

ここいらでちょっと傾向をみたくてSQLからエクスポートして、UNIQしてみました。結果的にはアカウント名は全て「admin」でアタックされていて、パスワードは色々なパターンで何度もアタックされているので、パスワードだけソートしてユニーク抽出してみました。

WordPress adminアタックパスワード

パスワードのユニーク抽出で495パターンありました。ロシア語みたいなのは文字化けしちゃったので要らないかなと思って削除しました。当サイトには「admin」というアカウントは最初から作っていませんし、ワンタイムパスワードの二段階認証にしているのでそう簡単には突破されないと思います。もちろんWordPressの脆弱性なんかを突かれると防御出来ない可能性もあるので、アップデートには追従していかなくてはなりません。

hostsファイルで一時的にPCを騙して作業する~dnsよりも優先されることを利用する

サーバー引越しの作業をしています。現在の共用サーバー環境ではPHPやMySQLのバージョンが古いので、システム的な更新が出来ないのが理由です。OSS系のCMSも併用しているのでリスクがあるという事でご依頼を頂いている案件です。

既存のサイトはとりあえずそのまま運用しつづけながら、移行先のサーバー環境にコンテンツをごっそり引越しさせて、カスタマイズの検証を行い、正常性を確認出来たら、レンタルサーバー屋に連絡してDNSを新サーバー向けに切り替えて貰う手はずです。

課題は、併用中の名前解決(DNS)です。現行のサーバーを運用しつつ、引越し先のサーバーの正常性も確認しなくてはならないので、同じサイトが2つ存在することにしなければなりません。ここでは私が作業に使っているPCのhostsファイルを書き換えて対応することにしました。通常利用のhostsファイルと、移行先サーバー専用のhostsファイルを切り替えて、移行先のサーバーにも本来使用するURLでアクセスして正常性を確認します。hostsファイルを切り替えさえすれば、同じURLで新旧サーバー任意の方にアクセス出来ます。その為にはhostsファイルの切り替えが頻繁に生じます。

Windows Vista以降、HostsファイルはUAC(ユーザーアカウント制御)によって保護されているので、メモ帳等でいちいち編集する手間+管理者権限でメモ帳を起動する手間などが煩わしく、作業効率も良くないし、何よりストレスを感じます。しかしこの仕組(セキュリティ)は重要な仕組みです。

続きを読む

WADAXレンタル・サーバー(共用)の引越し

WADAXWADAXレンタル・サーバー(共用プラン)をお使いのクライアントさんから、WordPressのバージョンアップが出来ないという内容でご相談を受けました。ドメイン名からサーバーの環境を調べてみたところ(WADAXはサーバー番号毎の環境を公表しています)、MySQLがバージョン4系で古い為にWordPressのバージョンアップが追従出来なくなってしまった事が判明しました。

実際にWordPressにログインさせて頂いて確認もしましたが、やはりMySQLのバージョンが古いのが原因だと判明しました(エラーメッセージにて確認)。オープンソースのCMSでバージョンアップに追従出来ないのは、脆弱性を抱えたままの運用になるのでで問題です。

それとログイン時に判明したのは、WordPressのアカウントが今話題になっている「admin」だったことです。WordPressの「admin」アカウントがアタックを受けてる事もあり、その辺りからご説明し、早急にadminアカウント名を変更し、更にGoogle認証の仕組みを利用するプラグインを導入し、Androidスマートフォンでワンタイムパスワードを生成して毎回ログイン時に通常のパスワード+ワンタイムパスワードを入力していただくように対策しました。幸い入られた痕跡は無さそうですがここも、移行テストの段階でチェックしておかなくてはなりません。

WADAX

さて本題のWADAX共用サーバーの引越しです。
私はWeb系の事業を行う会社でシステム寄りの仕事をしていた事もあるので、WADAXは使ったことがあります。その経験も踏まえて比較的親切なレンタル・サーバーだと評価しています。

今回課題となるのは「共用サーバー」という点です。共用サーバーというのは、住宅で例えればアパートとかマンションの様なものです。外壁が古いから改修工事とか、鉄骨をもっと頑丈なものに変えたいとか、免震構造にしたいとか、そういう事が一軒家の様には自由に出来ません。厳密には出来ないというよりは、居住者の意見が完全一致する事はまずあり得ないのでそういう事は不可能でしょう。

現実問題としては、新しい建物に引っ越すことになるのですが、これがWADAXで言うところの別のサーバーへの移行という事になります。住宅で言えば新しく建築された最新の建築構造をしたアパートやマンションへ引越しという事ですね。

続きを読む