wordpress Archive

Wordpress 2.8.6 への更新はいささか旧聞にあたるのだが、そのリリースの1週間後に、NTTデータ・セキュリティの脆弱性検証レポートにもネタにされていた。

WordPress の file.php の脆弱性に関する検証レポート

こうした検証が対策の後付けで出てくる事に何ほどの意味があるのかと考えると興味深い。
脆弱性の情報は、攻撃者にヒントを与えないため、対策前に発表するわけにはいかない側面がある。従って、対策と同時か後付けで無いと困るのである。
ただ、対策であるところの Wordpress 2.8.6 のリリースと検証レポート発表の間の1週間のタイムラグが、いろいろ想像をかきたてる。その週の仕事として予定を組み、検証環境の構成と試験を実施して、リリースの申請を通すところまでで1週間なのかなぁ…　とか考えてしまう訳ですよ。多分そこの会社のワークフローとしては、そこそこ速いものかと思うのですが、どうでしょう。

今回の脆弱性検証レポート自体は、非常に判り易いものでした。Wordpress のリリースノートからは読み取りにくい内容を、実態を伴ったケーススタディとして表現されていると思います。

一つ目の問題点は、ベンジャミン・フレッシュ氏が発見した「Press This」ブックマークレットの XSS 脆弱性です。二つ目の問題点はダウィッド・ゴランスキ氏が発見したアップロードファイル名のサニタイズに関するものです。ある Apache 設定のもとでは脆弱性があることが確認されました。これらを発見し、報告してくれたベンジャミンとダヴィッドに感謝します。

…という引用記事じゃ、判らん人が殆どでしょうから。

WordPress | 日本語 » WordPress 2.8.5 日本語版リリースのお知らせ

というアナウンスを受けて WordPress 2.8.5 に入れ替えました。
前バージョン 2.8.4 はセキュリティリリースという事で、粛々と入れ替えをしただけでしたが、今回公式で WordPress Exploit Scanner の導入が推奨されるようになったので、それに応じてサイトの設定を見直したいと思います。
WordPress Exploit Scanner は 2.7.1 以降に対応したものですが、各バージョン決め打ちで作られたチェッカーなので、それ以外のバージョンは使わないでほしいって意味にも取れますね。

WordPress Exploit Scanner は、導入した後活性化するのは他のプラグインと同様です。使い方は簡単で、ダッシュボードで Exploit Scanner を選択し、 Run the Scan のボタンを押すとスキャンを開始します。ぁゃιぃと感じた内容が表示されますが、コードのチェックについてちょっと厳しいんじゃないかと思われる面も多いです。ただ、このプラグインがファイルを削除するという事ではないので、逆にチェックとして厳しく見ていくのは問題ないという考え方なのでしょう。

また、同時に WordPress 2.9 の beta も始まりました。
WordPress 2.9 は新たな機能がかなり入ってきてるようですが、3.0 へ向けての道標という位置付けでもあるように思います。

良く比較される MovableType は 3.x から 4 になった時も、4.x から 5(Beta)になってく時も、倍々ゲームに近い肥大化があったのですが、Wordpress には軽いコアで行って欲しいなと思います。とはいえ Wordpress-MU との合流とかを標榜してるからには、そう簡単にはいきそうないですが。

関連する投稿

• 自由な小作農なら Sitemix ですよ (0)
• WordPress の Theme 追加 (0)
• WordPress Plugin をさらに追加 (0)
• SiteMix で WordPress する際に最初にやること (0)
• SiteMix で WordPress (0)

WordPress 2.8 リリースは、6月だったのですが、数字が大きく変わるバージョン変更は怖いというのと、Plugin の対応が即座にできるわけがが無いという経験則から、アップデートは順延してきました。

SiteMix 自身のアナウンスで、WordPress2.8.2へアップグレードのお知らせ
という事で新規登録者は WordPress2.8.2 からという事になったらしい。これを以って広告表示も含めた稼動確認は取れたと見て、重い腰を上げてこのサイトも 2.7.1 から 2.8.3 にアップグレードした。

1. Update してなかた Plugin を更新しといた。(順番的にここでなくていいんだけどね)
2. Export で記事のxmlを出力した。まぁ念のため。
3. WP-DB-BackupでMySQLのバックアップを取得した。(でもコレを使う事態になったら放り投げそうだ)
4. Plugin リストで有効・無効の区分を画面コピペでテキスト保存。(うちはめんどくさいので入れてるけど有効化してないのが結構あるのだ。)
5. 自動アップグレード → 白画面無反応 という状態。何回やっても何回やっても……　断念ｗｗｗ
6. FTPでファイルをアップロード。ブチブチFTPが切れるが、再送を繰り返して全て転送完了。
7. 手動アップデートの仕上げに、初回ログイン時にDB更新の確認が出る。

状況を見る限り、TOK2.comで良くあるネットワーク資源とサーバ資源の貧弱さにより、まともにFTP転送できてないところで白画面になってるのかも。
自動アップグレードで転送したスクリプトの正常性を信じるよりは、FTPのエラーハンドリングをきっちりやってるFTPツールを使って転送自体をきちんと確認して、手動アップグレードしたほうが安全だろう。精神的な平穏という意味でも。

ちなみに個人的なオススメは FileZilla FTP Client です。メジャーに使われている FFFTP は、低機能なのは我慢できても、大量データ転送時によくハングするのは我慢ならない。

関連する投稿

• 自由な小作農なら Sitemix ですよ (0)
• SiteMix で WordPress (0)
• 他の人は SiteMix 使ってないのかな？ (1)
• WordPress の Theme 追加 (0)
• WordPress Plugin をさらに追加 (0)

今まで SiteMix を使ってきて、実はトラブルは結構ありました…

中華サイトによる乗っ取り、Apache と php の設定を変更したのに、パーミッションが何かおかしかったり、独自ドメイン持込でサブドメイン単位では設定できないケースがあったり…

でも、対処が早いというかサポートの反応が良かったので、好感度は上がってます。人間だから間違えるの当たり前だし、間違えたら直せばいいんだもん。できなくても当たり前かなという件まで対処してもらったから、過去TOK2.comに持っていた悪い印象は、sitemix については完全に払拭されたと思います。

さて、NTTデータのブログASPであるDoblog の障害から閉鎖への顛末は、予想してた事ですが、最悪の方向に舵を切るとこが流石だったなと思います。事業じゃなく実験だったしね。仕方ないね。

ソレに対して Dan Kogai 氏は、レンタルASP利用は小作農であることを受け入れることみたいな論調です。全くもって賛成ですが、小作もいろいろあるでよ…

SiteMix で小作する分には、自由農民に限りなく近い小作農になれる。リスクを荘園領主にまかせて自由を満喫できる小作農は、それほど多くはない。長く続いて欲しいもんです。

もうすぐ Wordpress は 2.8 になるわけですが、その時の update でバタバタするのも楽しみですね。　…その前に Plugins を更新しておこうっと。

関連する投稿

• SiteMix で WordPress (0)
• WordPress2.8.3 への飛躍 (0)
• 検索エンジンへの登録とクロール確認 (0)
• 他の人は SiteMix 使ってないのかな？ (1)
• WordPress の Theme 追加 (0)

Exec-php は、記事(post)、ページ(pages …は、完全に静的なコンテンツでは無いけど、日付ベースで管理される記事に対して、ページ同士の関係性をツリー構造で定義できる1枚ページを多数構成できる WordPress の機能です)、テキスト・ウィジェットの中で php コードを記述できるようにするプラグインです。同様のものは、Sniplets, RunPHP, PHP Exec, EzStatic などがあるようですが、更新頻度と実績で Exec-php は優位にあると思います。

2009-01-07 に WordPress 2.7 対応の Version 4.9 が出たので、アップデートしました。その前のバージョンでも動いてはいましたけどね。

現状の SiteMix では、cgi 的には php が動かせる程度で他は何も無いので、んじゃ WordPress の中で php 書ければ済んじゃうんじゃね？　という理由で、入れてます。
参考サイト見て、サンプル的に置いたものがあります。コチラ……

• WordPressで外部RSSを取得して表示させる | [E2]e2esound.com
• [WP]wordpressでRSSを取得して表示 – WebTecNote

以上の参考サイト記事のまんまで、面白み無いですけどね。
人間が見る用のサイトマップでも生成しようかと思ったけど、「それ WordPress なら Plugin で出来るよ！」という事で、そっちは Dagon Design Sitemap Generator でヤッちゃいました。

関連する投稿

• 自由な小作農なら Sitemix ですよ (0)
• WordPress の Theme 追加 (0)
• WordPress Plugin をさらに追加 (0)
• Wordpress 2.8.5 と Exploit Scanner の導入 (0)
• SiteMix で WordPress する際に最初にやること (0)

SiteMix で導入済みの WordPress 環境には、既に30個近い Theme が入っていた。でも我が強いくてシックリ来ないというか、いかにもデザイナーががんばりました的なので、別途追加することにした。

他のシステムではテンプレートとかスキンと呼んだりする、見た目やレイアウト構造を規定するファイル群を、WordPress では Theme と呼んでいる訳だが、その選択肢は非常に多くて困ってしまう。というか公式の Theme を検索するだけで疲れちゃうと思うよ。

ここでは次期 WordPress 標準と標榜されつつ未だバンドルされない Sandbox Theme と、綺麗な構造とマルチプラットフォームで普及はなはだしい Vicuna を追加導入した。

前者は、何があってもコレにしときゃ間違いないという安心感と保険の意味で。後者はカスタマイズ性と日本語解説の豊富さから。どちらも css を弄るだけで、ここまで変わるものかという事例が豊富である。

Vicuna については、WordPress に特化した派生型 wp.Vicuna Ext. の導入とした。これは Theme 本体である wp.Vicuna Ext と Plugin である Vicuna Adaptor の組合せにより、簡単なカスタマイズは WordPress の管理画面から行うことができるというスグレモノ。

WordPress 2.7 では、まだ Theme の新規導入は管理画面からできないので FTP のお世話になる。これも次期バージョンでは管理画面からできるようになるそうなので楽しみだ。

また、何点かカスタマイズしなきゃならないのですが、最初にヘッダ部分の差込画像をソレっぽいのに入れ替えてしまう。写真は FL4Y さんの Orange juice から……

本文の画像レイアウトが css に定義されていないっぽいので、後日変更しなきゃ。

関連する投稿

• 自由な小作農なら Sitemix ですよ (0)
• WordPress Plugin をさらに追加 (0)
• Wordpress 2.8.5 と Exploit Scanner の導入 (0)
• SiteMix で WordPress する際に最初にやること (0)
• SiteMix で WordPress (0)

SiteMix のサービスでは初期状態でそれなりに WordPress Plugin が導入済みだが、有効化は自分でしなければならない。その前にバージョンが上がっているものはアップデート(これも管理画面からできる)

Akismet と WordPress.com Stats には、先に取得した WordPress.com の API Key をセットする。

さらに追加で以下の Plugin をインストールした。

• Add Meta Tags
• Simple Trackback Validation
• Smart Update Pinger
• TaM Google Analytics
• WP Super Cache

自分は All in One SEO Pack は使わないで Add Meta Tags にしたが、Theme を書き換えずに特定の META タグをセットしたいだけなので、何でも良いのだ。

Simple Trackback Validation はトラックバック・スパムを多少なりとも減らすため。

Smart Update Pinger は更新pingの成否をロギングし、随時発行するため。更新pingの投げ先は、Pingoo! を介して負荷軽減と増量を図る。個人的には、いつも Google, Yahoo!, はてなRSS, livedoor Reader へは更新通知を送るようにしている。

TaM Google Analytics は Theme を改変せずに Google Analytics のアクセス解析コードを埋め込むためだ。シンプルかつ必要十分な機能なので愛用している。

WP Super Cache は閲覧時のコンテンツ動的生成によるサーバー負荷が大きいという WordPress の特性を軽減するためのものだ。おそらく SiteMix は接続タイムアウトが発生しやすいだろうという予測で入れて見る。ON/OFF しながら様子見。

関連する投稿

• 自由な小作農なら Sitemix ですよ (0)
• WordPress の Theme 追加 (0)
• Wordpress 2.8.5 と Exploit Scanner の導入 (0)
• SiteMix で WordPress する際に最初にやること (0)
• SiteMix で WordPress (0)

ここ SiteMix では最初から WordPress 2.7 が導入されている。
その中での制約がいくつかあるので書いて見よう。

WordPress 導入先と通常のWebコンテンツの置き場所は異なるディレクトリになっているが、URLは重複した場所に設定できる。その際には排他的な利用になる。また、WordPress 導入先については、FTPでのアップロードができる部分もあれば、変更ができない部分もある。元から入ってる WordPress はオーナーが異なるので、FTP で操作する場合は注意しなければならない。

FTPアップロード無しでの WordPress のメンテナンスは、2.7 でなら管理画面から可能である。逆にそのおかげで環境を破壊するようなミスは起きにくくなってると言えよう。
それでも FTP を使わないと Theme 追加ができないという積み残し部分があったりする。FTP でアップしたファイルはオーナーが違うので、 WordPress の管理画面から消せない場合も出てくるので注意。

WordPress 2.7 での Plugin 導入においては、管理画面上からローカルに置いた ZIP ファイルをサーバーにアップロードして展開する事ができる。製作者がリリースした Plugin をそのまま使うのではなく、改変を行わなければならない場合は、ローカルで一旦 ZIP 圧縮してしまえばいい。そういうことだ。

SiteMix では .htaccess の作成・変更が可能だ。よって WordPress のパーマリンクの変更は有効であり、わかりやすい URL でサイトを管理することができる。今回は年月と記事タイトルというオーソドックスなものにした。

パーマリンク以外のユーザー、投稿設定、表示設定、ディスカッション、といった設定メニューも一通り確認していくこと。最初にやらないと非常に問題が大きいのがパーマリンクの設定というだけなので。

SiteMix で登録した URL のトップは WordPress のものか、通常のWebサイトのものか選択できる。最近の WordPress の CMS 的な充実ぶりならば、そのまま WordPress をトップにして全てを管理しても構わないかもしれない。

関連する投稿

• 自由な小作農なら Sitemix ですよ (0)
• WordPress の Theme 追加 (0)
• WordPress Plugin をさらに追加 (0)
• Wordpress 2.8.5 と Exploit Scanner の導入 (0)
• SiteMix で WordPress (0)

SiteMix では初期状態で WordPress 2.7 日本語版が利用可能です。
MySQL を直接メンテナンスすることはできませんが、WordPress 2.7 の管理画面が多機能化したため、ほとんどの作業はそこで済ますことができます。

今まで＠WORD、CMS Square、Press9 のWordPress レンタルサービスを利用した経験がありますが、最も後発だけあって最も快適です。(単純に WordPress のバージョンの違いと言ってしまえばそれまでですが)

それと、最初から導入されている Plugin は以下のものでした。

• Akismet
• All in One SEO Pack
• Google XML Sitemaps
• Post Templates
• Smart Youtube
• WordPress.com Stats
• WordPress Database Backup
• WP Multibyte Patch

機能的な網羅性を良く考えてあるという印象です。アクセス解析、spam対策、SEO という基礎を重視してるのは好感が持てますね。

また、直接 MySQL を操作できない SiteMix では、WordPress Database Backup は保険として必須と言えるでしょう。

取り敢えず、WordPress.com でアカウントを作成して、API Key を取得し、Akismet と WordPress.com Stats を使えるようにしました。

関連する投稿

• 自由な小作農なら Sitemix ですよ (0)
• WordPress2.8.3 への飛躍 (0)
• 他の人は SiteMix 使ってないのかな？ (1)
• WordPress の Theme 追加 (0)
• WordPress Plugin をさらに追加 (0)