wp-loginにどれくらいの攻撃があるか

wordpressを運用していると、すぐにあることに気づく。管理用のログインページがさらされていることである。
wordpressを運用していれば、管理用のログインページのアドレスは誰もが知ることとなる。にもかかわらず、当のシステムのほうでは、IDパスワード意外の対策はなされていない。

“wp-loginにどれくらいの攻撃があるか” の続きを読む

wordpressでドメイン変更後にやること

 ieserver の障害がなかなか復旧せず、致し方なく DDNS サービスを変更した。これで困るのは、wordpress 内に貼ったリンクのリンク切れや、ギャラリー等の画像がリンク切れで表示されなくなることである。
相当数ある投稿記事の中から該当するリンクを探し出し書き換えるのは、困難である。そんな苦行はしたくない。
で検索したら、こちらの記事が見つかった。

“wordpressでドメイン変更後にやること” の続きを読む

ポートフォリオサイト鋭意作成中

 今年4月に試しに作ってみたマルチサイトをベースに、自身のポートフォリオサイトを構築中である。
https://nekoserv.f5.si/user2/
ゆくゆくはECサイトやコーポレートサイトにも挑戦し、マルチにいろいろなサイトを作れるようになりたい。

wordpressでマルチサイト

 私の周囲では周知の事実だが、転職してこの4月から新たな職場に勤務している。しかし、入社してすぐに仕事があるわけでもなく、暇である。そこで、かねてからやってみようと思っていた、単一サーバ内での wordpress のマルチサイトをやってみた。
 やり方は簡単、https://wordpress.org/ で最新版の wordpress をダウンロードして、/var/www/html 配下に展開する。展開する際には、ディレクトリ名をアクセスする url にしておく。展開したディレクトリ名以下のオーナーを、www-data に変更する。あとは、/展開したディレクトリ/wp-admin/ にアクセスすると、対話形式で設定が始まる。DB名は、既存のものと被らないようにしないといけないことに、注意する。失敗しても、ディレクトリとDBを削除すればいい。数分で終了。

https://nekoserv.atnifty.com/user2

自宅サーバ更新 (失敗)

自宅サーバもいい加減、Ubuntu 16.04.6 で動作させてしばらく経つ。ssh で接続するたびに、「18.04.2 LTSがリリースされているから、更新しなきゃあかんで」って警告が出る。で昨晩、ようやく更新した。
結論から言うと失敗して、結局元に戻した

“自宅サーバ更新 (失敗)” の続きを読む

WordPress認証問題

WordPressを運用していると、悩ましい問題に直面する。

それは、WordPressの管理画面、wp-loginに簡単にアクセスできてしまうことである。

当然、ログインするにはIDパスワードは必要である。だが、当該アドレスにアクセスできる以上、アタックを許してしまうことになる。これはいけない。

かの有名なアニメ「新幹線変形ロボ シンカリオン」の公式ページ(http://www.shinkalion.com/)でさえ、この対策はなされていない。wp-login.phpにアクセスできてしまうのである。

でこの対策をapacheのディレクテブで対処してみた。apache2.conf に以下を追加するだけである。

<FilesMatch "wp-login\.php">
    Order deny,allow
    Deny from all
    Allow from 192.168.1.0/24
</FilesMatch>

一旦 deny allした後、allow で許可を指定するのが、ポイントである。

これで、内部のネットワーク(192.168.1.0/24)以外からは、Permission Denied となる。

インターネットからアクセスするには、VPNを利用することになる。

MySQL不調からの復帰

7月26日、自宅サーバの apt dist-upgrade をした後から、MySQL の起動で fail するようになった。

そして今日、ようやく直った。

やったことと言えば、apt purge mysql-server やら、rm -rf /var/lib/mysql*  やら、闇雲にこねくり回しただけだった。

原因もわからなければ、どうして復帰できたのかもわからない。謎。