Home > web Archive
web Archive
Wordpress 2.8.5 の脆弱性検証レポートを見た
- 2009-12-01 (火)
- wordpress
Wordpress 2.8.6 への更新はいささか旧聞にあたるのだが、そのリリースの1週間後に、NTTデータ・セキュリティの脆弱性検証レポートにもネタにされていた。
こうした検証が対策の後付けで出てくる事に何ほどの意味があるのかと考えると興味深い。
脆弱性の情報は、攻撃者にヒントを与えないため、対策前に発表するわけにはいかない側面がある。従って、対策と同時か後付けで無いと困るのである。
ただ、対策であるところの Wordpress 2.8.6 のリリースと検証レポート発表の間の1週間のタイムラグが、いろいろ想像をかきたてる。その週の仕事として予定を組み、検証環境の構成と試験を実施して、リリースの申請を通すところまでで1週間なのかなぁ… とか考えてしまう訳ですよ。多分そこの会社のワークフローとしては、そこそこ速いものかと思うのですが、どうでしょう。
今回の脆弱性検証レポート自体は、非常に判り易いものでした。Wordpress のリリースノートからは読み取りにくい内容を、実態を伴ったケーススタディとして表現されていると思います。
一つ目の問題点は、ベンジャミン・フレッシュ氏が発見した「Press This」ブックマークレットの XSS 脆弱性です。二つ目の問題点はダウィッド・ゴランスキ氏が発見したアップロードファイル名のサニタイズに関するものです。ある Apache 設定のもとでは脆弱性があることが確認されました。これらを発見し、報告してくれたベンジャミンとダヴィッドに感謝します。
…という引用記事じゃ、判らん人が殆どでしょうから。
- Comments: 0
- Trackbacks: 0
Sitemix、広告仕様の変更と Perl の追加
SiteMix 初の大きな仕様変更があった。概要は2009/11/06にリリースされた。
広告の自動挿入の変更
従来はコンテンツのフッターにテキスト広告が自動挿入されたが、追加してヘッダーにも自動挿入されるようになった。これはバナー画像へのマウスオーバーでテキスト広告を表示する。また、一定の更新期間が無い場合には、さらにヘッダーに常時表示の巨大なテキスト広告が展開される。
フッター広告はコンテンツへの影響度という面では殆ど影響しないのだが、ヘッダー広告はそうではない。TOK2 の他のサービスの広告に比較すれば良く考えられたバランスとは思うが、更新が頻繁出ない場合の広告は、かなりキツイ。
ユーザーが先頭部分にナビゲーションメニューを出している場合は、それを覆い尽くしてしまう状態になるからだ。
しかし、SiteMix が TOK2 のサービスである以上、いつかは来る仕様変更だと思っていたので、「ついに」という感と、「終わった」という感が半々である。
perlのサポート
これは予想外の追加仕様で、ほんのりうれしいかもしれない。おそらく今までのサポートの感触から言って、足りない Perl module については希望すれば導入してくれるだろうと思ってます。
MySQL が正式には使えないという制約はあるものの、選択可能な CGI については、非常に自由度が上がったのではないかと思う。
ユーザー数が増えたことも相まって、「重い」と感じることが多くなった SiteMix ですが、スタティックな HTML を吐く CMS を導入すれば、まだまだ他の無料ホームページのサービスに対してのアドバンテージはあるのではないかと思う。
また有償オプションの展開次第では、ビジネスとして面白いのかもしれないが、その分野は既に自社の他のサービスがカバーしている。URLを維持したままアップグレードもできるという部分がウリになる筈だが、Sitemix に限ってはセールスポイントとして弱い。なぜなら Sitemix では無料の段階から独自ドメイン運用をサポートしているので、URLの継続性を気にする人なら、既に独自ドメイン化してると思われ、そこでは他のレンタルサーバへの付け替えなど非常に簡単に済む話になってしまうからだ。
関連する投稿
- Comments: 0
- Trackbacks: 0
Wordpress 2.8.5 と Exploit Scanner の導入
- 2009-10-24 (土)
- wordpress
WordPress | 日本語 » WordPress 2.8.5 日本語版リリースのお知らせ
というアナウンスを受けて WordPress 2.8.5 に入れ替えました。
前バージョン 2.8.4 はセキュリティリリースという事で、粛々と入れ替えをしただけでしたが、今回公式で WordPress Exploit Scanner の導入が推奨されるようになったので、それに応じてサイトの設定を見直したいと思います。
WordPress Exploit Scanner は 2.7.1 以降に対応したものですが、各バージョン決め打ちで作られたチェッカーなので、それ以外のバージョンは使わないでほしいって意味にも取れますね。
WordPress Exploit Scanner は、導入した後活性化するのは他のプラグインと同様です。使い方は簡単で、ダッシュボードで Exploit Scanner を選択し、 Run the Scan のボタンを押すとスキャンを開始します。ぁゃιぃと感じた内容が表示されますが、コードのチェックについてちょっと厳しいんじゃないかと思われる面も多いです。ただ、このプラグインがファイルを削除するという事ではないので、逆にチェックとして厳しく見ていくのは問題ないという考え方なのでしょう。
また、同時に WordPress 2.9 の beta も始まりました。
WordPress 2.9 は新たな機能がかなり入ってきてるようですが、3.0 へ向けての道標という位置付けでもあるように思います。
良く比較される MovableType は 3.x から 4 になった時も、4.x から 5(Beta)になってく時も、倍々ゲームに近い肥大化があったのですが、Wordpress には軽いコアで行って欲しいなと思います。とはいえ Wordpress-MU との合流とかを標榜してるからには、そう簡単にはいきそうないですが。
関連する投稿
- Comments: 0
- Trackbacks: 0
WordPress2.8.3 への飛躍
- 2009-08-05 (水)
- wordpress
WordPress 2.8 リリースは、6月だったのですが、数字が大きく変わるバージョン変更は怖いというのと、Plugin の対応が即座にできるわけがが無いという経験則から、アップデートは順延してきました。
SiteMix 自身のアナウンスで、WordPress2.8.2へアップグレードのお知らせ
という事で新規登録者は WordPress2.8.2 からという事になったらしい。これを以って広告表示も含めた稼動確認は取れたと見て、重い腰を上げてこのサイトも 2.7.1 から 2.8.3 にアップグレードした。
- Update してなかた Plugin を更新しといた。(順番的にここでなくていいんだけどね)
- Export で記事のxmlを出力した。まぁ念のため。
- WP-DB-BackupでMySQLのバックアップを取得した。(でもコレを使う事態になったら放り投げそうだ)
- Plugin リストで有効・無効の区分を画面コピペでテキスト保存。(うちはめんどくさいので入れてるけど有効化してないのが結構あるのだ。)
- 自動アップグレード → 白画面無反応 という状態。何回やっても何回やっても…… 断念www
- FTPでファイルをアップロード。ブチブチFTPが切れるが、再送を繰り返して全て転送完了。
- 手動アップデートの仕上げに、初回ログイン時にDB更新の確認が出る。
状況を見る限り、TOK2.comで良くあるネットワーク資源とサーバ資源の貧弱さにより、まともにFTP転送できてないところで白画面になってるのかも。
自動アップグレードで転送したスクリプトの正常性を信じるよりは、FTPのエラーハンドリングをきっちりやってるFTPツールを使って転送自体をきちんと確認して、手動アップグレードしたほうが安全だろう。精神的な平穏という意味でも。
ちなみに個人的なオススメは FileZilla FTP Client です。メジャーに使われている FFFTP は、低機能なのは我慢できても、大量データ転送時によくハングするのは我慢ならない。
関連する投稿
- Comments: 0
- Trackbacks: 0
自由な小作農なら Sitemix ですよ
今まで SiteMix を使ってきて、実はトラブルは結構ありました…
中華サイトによる乗っ取り、Apache と php の設定を変更したのに、パーミッションが何かおかしかったり、独自ドメイン持込でサブドメイン単位では設定できないケースがあったり…
でも、対処が早いというかサポートの反応が良かったので、好感度は上がってます。人間だから間違えるの当たり前だし、間違えたら直せばいいんだもん。できなくても当たり前かなという件まで対処してもらったから、過去TOK2.comに持っていた悪い印象は、sitemix については完全に払拭されたと思います。
さて、NTTデータのブログASPであるDoblog の障害から閉鎖への顛末は、予想してた事ですが、最悪の方向に舵を切るとこが流石だったなと思います。事業じゃなく実験だったしね。仕方ないね。
ソレに対して Dan Kogai 氏は、レンタルASP利用は小作農であることを受け入れることみたいな論調です。全くもって賛成ですが、小作もいろいろあるでよ…
SiteMix で小作する分には、自由農民に限りなく近い小作農になれる。リスクを荘園領主にまかせて自由を満喫できる小作農は、それほど多くはない。長く続いて欲しいもんです。
もうすぐ Wordpress は 2.8 になるわけですが、その時の update でバタバタするのも楽しみですね。 …その前に Plugins を更新しておこうっと。
関連する投稿
- Comments: 0
- Trackbacks: 0
Exec-PHP が WordPress 2.7 対応になりました。
Exec-php は、記事(post)、ページ(pages …は、完全に静的なコンテンツでは無いけど、日付ベースで管理される記事に対して、ページ同士の関係性をツリー構造で定義できる1枚ページを多数構成できる WordPress の機能です)、テキスト・ウィジェットの中で php コードを記述できるようにするプラグインです。同様のものは、Sniplets, RunPHP, PHP Exec, EzStatic などがあるようですが、更新頻度と実績で Exec-php は優位にあると思います。
2009-01-07 に WordPress 2.7 対応の Version 4.9 が出たので、アップデートしました。その前のバージョンでも動いてはいましたけどね。
現状の SiteMix では、cgi 的には php が動かせる程度で他は何も無いので、んじゃ WordPress の中で php 書ければ済んじゃうんじゃね? という理由で、入れてます。
参考サイト見て、サンプル的に置いたものがあります。コチラ……
以上の参考サイト記事のまんまで、面白み無いですけどね。
人間が見る用のサイトマップでも生成しようかと思ったけど、「それ WordPress なら Plugin で出来るよ!」という事で、そっちは Dagon Design Sitemap Generator でヤッちゃいました。
関連する投稿
- Comments: 2
- Trackbacks: 0
Movable Type はどんどん CMS 化していってますね
Movable Type を使ってるサイトを、この機会に 4.23 にアップデートした。
上書きしてloginするだけでアップデート用スクリプト走って一発なので、超簡単なのだが、流石に数が多いと面倒だ。
その間に、ちょこっとMT関連サイト巡回……
Movable Type Community Solution って、今一つ利用形態が思い浮かばなかったのですが、crema さんのとこで自身の関わった「東京もつ鍋天国」の記事で、おおっっと感心させられました。
- MTCSで作成した「東京もつ鍋天国」サイトを、事例紹介していただきました。|Movable Type|東京Webデザイナー日記リターンズ|crema design
- Six Apart – Blog on Business: 東京もつ鍋天国がMovable Typeを使う理由:前編
- Six Apart – Blog on Business: 東京もつ鍋天国がMovable Typeを使う理由:後編
CMS 側の基本機能で、ここまで出来るのかと正直びっくりデスよ。
もちろんMTの中の構造をしっかり理解して無いとできないと思いますし、出来上がりの明確なイメージあってこそと思いますが、目標にはなりますね。
ただ、次期バージョンが Vox で実装してる感じのメディア管理の機能追加をしたり、コミュニティ機能を強化したりするのはいいのですが、ますます重厚長大なプログラムになってしまうのは、ちょっとなぁ…と思います。
コア部分は軽いまま MTOS として出していきますよって事ならいいのですが。
関連する投稿
- Comments: 0
- Trackbacks: 0
他の人は SiteMix 使ってないのかな?
先に SiteMix 利用について書いたが、他にユーザー居ないかなと思って探して見た。
SiteMix のサービス紹介は多く見かけたが、実験用途以上に実際に利用されている方は、まだまだ少ない。取り敢えず Google さんに聞いた結果から勝手に拾ってみました。
- Feathery Instrument // index
- デスクトップマスコットソフトウェア「SSP」のキャラクターデータの配布とか、pukiwiki とか使われてるみたいですね。
- fm77.43(another)☆12
- 昔は「何か」といってた気がするデスクトップアクセサリ「伺か」のゴーストを作ってる方らしいです。
- 年賀状2009 無料素材、牛の画像、写真
- WordPress を使って、タイトル通りめっちゃ時事性が強いネタに特化されてるようです。
- Red Cat Moo weblog | 赤猫夢
- WordPress で日記としてご利用のようです。mixi で頑張ってる方のように見受けられます。
Perl, MySQL 無し。PHP あり。そんな SiteMix で使い物になるモノは PukiWiki あたりが定番という事でしょうかね。spam 対策とユーザー制御考えた場合、PukiWiki は大変だなと思ってるので、ほったらかしが予想される私には無理なブツですw
WordPress には WP-Dokuwiki という Plugin がありますが、記法が wikiwiki しちゃうだけで、不特定多数による編集が出来るわけじゃないからなぁ……
私が SiteMix でのトップを WordPress 以外に変えるのは、SiteMix 側が Perl, MySQL, SQLite の何れかの仕様を追加しない限り、検討すらしないかも。
関連する投稿
- Comments: 1
- Trackbacks: 0
検索エンジンへの登録とクロール確認
曲りなりにも公開サイトなので、検索エンジンに登録しておく。
3大検索エンジンといえば、Google, Yahoo!, MSN Live Search というところなので、その3つに明示的な登録依頼をする。
実際に登録してなくても勝手にクローラーが巡回しに来てくれると言うかも知れないが、作成当初の誰もリンクしてない孤島のようなサイトには何時まで待っても来てくれないよ。
さらにクローラーの巡回状況を確認したり、検索クエリーや検索順位を確認できるサービスがあるので、それらにも登録する。
こちらはサイトのオーナーであることを証明するために、固有のデータを自己サイトに書き込まなければならない。3者とも METAタグでの記述でいいので、先に導入している Add-Meta-Tags Plugin でヘッダに追加してあげる。ただ、Yahoo! のそれは閉じ括弧の前のスラッシュが足りないので不味いから直してね。
また、Google-XML-Sitemaps-Generator Plugin の設定も見直しておくといい。
これで数日中には確実に検索エンジンから見えるようになるはずだ。
関連する投稿
- Comments: 0
- Trackbacks: 0
WordPress の Theme 追加
SiteMix で導入済みの WordPress 環境には、既に30個近い Theme が入っていた。でも我が強いくてシックリ来ないというか、いかにもデザイナーががんばりました的なので、別途追加することにした。
他のシステムではテンプレートとかスキンと呼んだりする、見た目やレイアウト構造を規定するファイル群を、WordPress では Theme と呼んでいる訳だが、その選択肢は非常に多くて困ってしまう。というか公式の Theme を検索するだけで疲れちゃうと思うよ。
ここでは次期 WordPress 標準と標榜されつつ未だバンドルされない Sandbox Theme と、綺麗な構造とマルチプラットフォームで普及はなはだしい Vicuna を追加導入した。
Sandbox theme
Vicuna theme
前者は、何があってもコレにしときゃ間違いないという安心感と保険の意味で。後者はカスタマイズ性と日本語解説の豊富さから。どちらも css を弄るだけで、ここまで変わるものかという事例が豊富である。
Vicuna については、WordPress に特化した派生型 wp.Vicuna Ext. の導入とした。これは Theme 本体である wp.Vicuna Ext と Plugin である Vicuna Adaptor の組合せにより、簡単なカスタマイズは WordPress の管理画面から行うことができるというスグレモノ。
WordPress 2.7 では、まだ Theme の新規導入は管理画面からできないので FTP のお世話になる。これも次期バージョンでは管理画面からできるようになるそうなので楽しみだ。
また、何点かカスタマイズしなきゃならないのですが、最初にヘッダ部分の差込画像をソレっぽいのに入れ替えてしまう。写真は FL4Y さんの Orange juice から……
本文の画像レイアウトが css に定義されていないっぽいので、後日変更しなきゃ。
関連する投稿
- Comments: 0
- Trackbacks: 0
Home > web Archive
