WordPress の file.php の脆弱性に関する検証レポート

こうした検証が対策の後付けで出てくる事に何ほどの意味があるのかと考えると興味深い。
脆弱性の情報は、攻撃者にヒントを与えないため、対策前に発表するわけにはいかない側面がある。従って、対策と同時か後付けで無いと困るのである。
ただ、対策であるところの Wordpress 2.8.6 のリリースと検証レポート発表の間の1週間のタイムラグが、いろいろ想像をかきたてる。その週の仕事として予定を組み、検証環境の構成と試験を実施して、リリースの申請を通すところまでで1週間なのかなぁ…　とか考えてしまう訳ですよ。多分そこの会社のワークフローとしては、そこそこ速いものかと思うのですが、どうでしょう。

今回の脆弱性検証レポート自体は、非常に判り易いものでした。Wordpress のリリースノートからは読み取りにくい内容を、実態を伴ったケーススタディとして表現されていると思います。

一つ目の問題点は、ベンジャミン・フレッシュ氏が発見した「Press This」ブックマークレットの XSS 脆弱性です。二つ目の問題点はダウィッド・ゴランスキ氏が発見したアップロードファイル名のサニタイズに関するものです。ある Apache 設定のもとでは脆弱性があることが確認されました。これらを発見し、報告してくれたベンジャミンとダヴィッドに感謝します。

…という引用記事じゃ、判らん人が殆どでしょうから。

サイトミックス インフォメーション » 広告追加と機能追加のお知らせ

広告の自動挿入の変更

従来はコンテンツのフッターにテキスト広告が自動挿入されたが、追加してヘッダーにも自動挿入されるようになった。これはバナー画像へのマウスオーバーでテキスト広告を表示する。また、一定の更新期間が無い場合には、さらにヘッダーに常時表示の巨大なテキスト広告が展開される。

フッター広告はコンテンツへの影響度という面では殆ど影響しないのだが、ヘッダー広告はそうではない。TOK2 の他のサービスの広告に比較すれば良く考えられたバランスとは思うが、更新が頻繁出ない場合の広告は、かなりキツイ。
ユーザーが先頭部分にナビゲーションメニューを出している場合は、それを覆い尽くしてしまう状態になるからだ。

しかし、SiteMix が TOK2 のサービスである以上、いつかは来る仕様変更だと思っていたので、「ついに」という感と、「終わった」という感が半々である。

perlのサポート

これは予想外の追加仕様で、ほんのりうれしいかもしれない。おそらく今までのサポートの感触から言って、足りない Perl module については希望すれば導入してくれるだろうと思ってます。

MySQL が正式には使えないという制約はあるものの、選択可能な CGI については、非常に自由度が上がったのではないかと思う。

ユーザー数が増えたことも相まって、「重い」と感じることが多くなった SiteMix ですが、スタティックな HTML を吐く CMS を導入すれば、まだまだ他の無料ホームページのサービスに対してのアドバンテージはあるのではないかと思う。

また有償オプションの展開次第では、ビジネスとして面白いのかもしれないが、その分野は既に自社の他のサービスがカバーしている。URLを維持したままアップグレードもできるという部分がウリになる筈だが、Sitemix に限ってはセールスポイントとして弱い。なぜなら Sitemix では無料の段階から独自ドメイン運用をサポートしているので、URLの継続性を気にする人なら、既に独自ドメイン化してると思われ、そこでは他のレンタルサーバへの付け替えなど非常に簡単に済む話になってしまうからだ。

というアナウンスを受けて WordPress 2.8.5 に入れ替えました。
前バージョン 2.8.4 はセキュリティリリースという事で、粛々と入れ替えをしただけでしたが、今回公式で WordPress Exploit Scanner の導入が推奨されるようになったので、それに応じてサイトの設定を見直したいと思います。
WordPress Exploit Scanner は 2.7.1 以降に対応したものですが、各バージョン決め打ちで作られたチェッカーなので、それ以外のバージョンは使わないでほしいって意味にも取れますね。

WordPress Exploit Scanner は、導入した後活性化するのは他のプラグインと同様です。使い方は簡単で、ダッシュボードで Exploit Scanner を選択し、 Run the Scan のボタンを押すとスキャンを開始します。ぁゃιぃと感じた内容が表示されますが、コードのチェックについてちょっと厳しいんじゃないかと思われる面も多いです。ただ、このプラグインがファイルを削除するという事ではないので、逆にチェックとして厳しく見ていくのは問題ないという考え方なのでしょう。

また、同時に WordPress 2.9 の beta も始まりました。
WordPress 2.9 は新たな機能がかなり入ってきてるようですが、3.0 へ向けての道標という位置付けでもあるように思います。

良く比較される MovableType は 3.x から 4 になった時も、4.x から 5(Beta)になってく時も、倍々ゲームに近い肥大化があったのですが、Wordpress には軽いコアで行って欲しいなと思います。とはいえ Wordpress-MU との合流とかを標榜してるからには、そう簡単にはいきそうないですが。

SiteMix 自身のアナウンスで、WordPress2.8.2へアップグレードのお知らせ
という事で新規登録者は WordPress2.8.2 からという事になったらしい。これを以って広告表示も含めた稼動確認は取れたと見て、重い腰を上げてこのサイトも 2.7.1 から 2.8.3 にアップグレードした。

1. Update してなかた Plugin を更新しといた。(順番的にここでなくていいんだけどね)
2. Export で記事のxmlを出力した。まぁ念のため。
3. WP-DB-BackupでMySQLのバックアップを取得した。(でもコレを使う事態になったら放り投げそうだ)
4. Plugin リストで有効・無効の区分を画面コピペでテキスト保存。(うちはめんどくさいので入れてるけど有効化してないのが結構あるのだ。)
5. 自動アップグレード → 白画面無反応 という状態。何回やっても何回やっても……　断念ｗｗｗ
6. FTPでファイルをアップロード。ブチブチFTPが切れるが、再送を繰り返して全て転送完了。
7. 手動アップデートの仕上げに、初回ログイン時にDB更新の確認が出る。

状況を見る限り、TOK2.comで良くあるネットワーク資源とサーバ資源の貧弱さにより、まともにFTP転送できてないところで白画面になってるのかも。
自動アップグレードで転送したスクリプトの正常性を信じるよりは、FTPのエラーハンドリングをきっちりやってるFTPツールを使って転送自体をきちんと確認して、手動アップグレードしたほうが安全だろう。精神的な平穏という意味でも。

ちなみに個人的なオススメは FileZilla FTP Client です。メジャーに使われている FFFTP は、低機能なのは我慢できても、大量データ転送時によくハングするのは我慢ならない。

中華サイトによる乗っ取り、Apache と php の設定を変更したのに、パーミッションが何かおかしかったり、独自ドメイン持込でサブドメイン単位では設定できないケースがあったり…

でも、対処が早いというかサポートの反応が良かったので、好感度は上がってます。人間だから間違えるの当たり前だし、間違えたら直せばいいんだもん。できなくても当たり前かなという件まで対処してもらったから、過去TOK2.comに持っていた悪い印象は、sitemix については完全に払拭されたと思います。

さて、NTTデータのブログASPであるDoblog の障害から閉鎖への顛末は、予想してた事ですが、最悪の方向に舵を切るとこが流石だったなと思います。事業じゃなく実験だったしね。仕方ないね。

ソレに対して Dan Kogai 氏は、レンタルASP利用は小作農であることを受け入れることみたいな論調です。全くもって賛成ですが、小作もいろいろあるでよ…

SiteMix で小作する分には、自由農民に限りなく近い小作農になれる。リスクを荘園領主にまかせて自由を満喫できる小作農は、それほど多くはない。長く続いて欲しいもんです。

もうすぐ Wordpress は 2.8 になるわけですが、その時の update でバタバタするのも楽しみですね。　…その前に Plugins を更新しておこうっと。

2009-01-07 に WordPress 2.7 対応の Version 4.9 が出たので、アップデートしました。その前のバージョンでも動いてはいましたけどね。

現状の SiteMix では、cgi 的には php が動かせる程度で他は何も無いので、んじゃ WordPress の中で php 書ければ済んじゃうんじゃね？　という理由で、入れてます。
参考サイト見て、サンプル的に置いたものがあります。コチラ……

• WordPressで外部RSSを取得して表示させる | [E2]e2esound.com
• [WP]wordpressでRSSを取得して表示 – WebTecNote

以上の参考サイト記事のまんまで、面白み無いですけどね。
人間が見る用のサイトマップでも生成しようかと思ったけど、「それ WordPress なら Plugin で出来るよ！」という事で、そっちは Dagon Design Sitemap Generator でヤッちゃいました。

• PC Tools Firewall Plus 5.00 のインストール

ちなみにウチでは 「強化されたセキュリティ証明」を切らないとハングアップしました。
XP 環境ですが、スタートアップにロードするプログラムのうち誰かが通信しようとした時に止まるように見えます。操作不能になるので、あんまり追っかけずに素直にオプション外して問題回避。
Vista 環境の場合にはスリープ復帰の動作などにも問題はあると言われていますね。

ちょっと良く判らない日本語ばかりのソフトですが、どうしても英語のメニューは見たくないという方にはオススメですｗ

2ch > セキュリティ > 【フリー】PC Tool Firewall Plus Port6【無料】 から引用。

【フリー】PC Tool Firewall Plus Port6【無料】

1 名前：名無しさん＠お腹いっぱい。：2008/12/19(金) 23:45:57

★SpywareDocterはインストールするな
★荒らしはスルー

日本公式
http://www.pctools.com/jp/firewall/
本家フォーラム（英語）
http://www.pctools.com/forum/
前スレ
http://pc11.2ch.net/test/read.cgi/sec/1218758441/

2 名前：名無しさん＠お腹いっぱい。：2008/12/19(金) 23:48:01

Q：軽い？
A：FWの中では結構軽い

Q：Vistaに対応してる？
A：してる

Q：日本語で使用できる？
A：できる

Q：無料？
A：無料！

Q：Googleツールバーって強制インストール？
A：翻訳ミス。二択画面で下を選ぶ

3 名前：名無しさん＠お腹いっぱい。：2008/12/19(金) 23:48:53

Q：自動アップデート（Smart Update）してくれる？
A：バージョンによって機能したりしなかったりするから手動でやるのが確実

Q：手動アップデートってどうやるの？
A：公式ページから最新版をダウンロードしてインストール

Q：ルールとかはどうするの？
A：あらかじめ設定してあるので基本的には設定の必要無し
　 もちろん自分でも作れる

Q：インストールの時にSpyware Doctorを入れるように言われるけど入れたほうがいいの？
A：入れないほうがいい

Q：固まった
A：（Ver3系）設定→フィルタリング→「コードインジェクション防御を有効にする」のチェックを外す
　 （Ver4系）「改良された安全検証をオンにする」のチェックを外す

Q：コードインジェクション防御て何？（Ver3系）
A：Javascriptの中にJavascriptを挿入するとか変数にscriptを挿入されるのを防ぐんだと思う
　 クラックされたHPを見たり、PCでサーバーを立ち上げたりしてる時に有効使える

5 名前：名無しさん＠お腹いっぱい。：2008/12/19(金) 23:51:57

以上テンプレ終わり

コピペしとくべき事あったら誰か頼む

6 名前：名無しさん＠お腹いっぱい。：2008/12/19(金) 23:56:05

（Ver5系）「強化された安全確認を有効にする」のチェックを外す

7 名前：名無しさん＠お腹いっぱい。：2008/12/19(金) 23:58:03

Q：固まった
A：（Ver3系）設定→フィルタリング→「コードインジェクション防御を有効にする」のチェックを外す
　 （Ver4系）「改良された安全検証をオンにする」のチェックを外す
（Ver5系）「強化された安全確認を有効にする」のチェックを外す

その間に、ちょこっとMT関連サイト巡回……

Movable Type Community Solution って、今一つ利用形態が思い浮かばなかったのですが、crema さんのとこで自身の関わった「東京もつ鍋天国」の記事で、おおっっと感心させられました。

• MTCSで作成した「東京もつ鍋天国」サイトを、事例紹介していただきました。｜Movable Type｜東京Webデザイナー日記リターンズ｜crema design
• Six Apart – Blog on Business: 東京もつ鍋天国がMovable Typeを使う理由：前編
• Six Apart – Blog on Business: 東京もつ鍋天国がMovable Typeを使う理由：後編

CMS 側の基本機能で、ここまで出来るのかと正直びっくりデスよ。
もちろんMTの中の構造をしっかり理解して無いとできないと思いますし、出来上がりの明確なイメージあってこそと思いますが、目標にはなりますね。

ただ、次期バージョンが Vox で実装してる感じのメディア管理の機能追加をしたり、コミュニティ機能を強化したりするのはいいのですが、ますます重厚長大なプログラムになってしまうのは、ちょっとなぁ…と思います。

コア部分は軽いまま MTOS として出していきますよって事ならいいのですが。

Feathery Instrument // index

デスクトップマスコットソフトウェア「SSP」のキャラクターデータの配布とか、pukiwiki とか使われてるみたいですね。

fm77.43(another)☆12

昔は「何か」といってた気がするデスクトップアクセサリ「伺か」のゴーストを作ってる方らしいです。

年賀状2009　無料素材、牛の画像、写真

WordPress を使って、タイトル通りめっちゃ時事性が強いネタに特化されてるようです。

Red Cat Moo weblog | 赤猫夢

WordPress で日記としてご利用のようです。mixi で頑張ってる方のように見受けられます。

Perl, MySQL 無し。PHP あり。そんな SiteMix で使い物になるモノは PukiWiki あたりが定番という事でしょうかね。spam 対策とユーザー制御考えた場合、PukiWiki は大変だなと思ってるので、ほったらかしが予想される私には無理なブツですｗ
WordPress には WP-Dokuwiki という Plugin がありますが、記法が wikiwiki しちゃうだけで、不特定多数による編集が出来るわけじゃないからなぁ……

私が SiteMix でのトップを WordPress 以外に変えるのは、SiteMix 側が Perl, MySQL, SQLite の何れかの仕様を追加しない限り、検討すらしないかも。

• Add your URL to Google
• 検索エンジン（クローラー）への巡回リクエスト – サイトエクスプローラー – Yahoo!検索
• Live Search URL の登録

実際に登録してなくても勝手にクローラーが巡回しに来てくれると言うかも知れないが、作成当初の誰もリンクしてない孤島のようなサイトには何時まで待っても来てくれないよ。

さらにクローラーの巡回状況を確認したり、検索クエリーや検索順位を確認できるサービスがあるので、それらにも登録する。

• Google Webmaster Tools
• サイトエクスプローラー（サイト管理者向けツール） – Yahoo!検索
• Webmaster Tools – Live Search

こちらはサイトのオーナーであることを証明するために、固有のデータを自己サイトに書き込まなければならない。３者とも METAタグでの記述でいいので、先に導入している Add-Meta-Tags Plugin でヘッダに追加してあげる。ただ、Yahoo! のそれは閉じ括弧の前のスラッシュが足りないので不味いから直してね。

また、Google-XML-Sitemaps-Generator Plugin の設定も見直しておくといい。

これで数日中には確実に検索エンジンから見えるようになるはずだ。