Brute force attack との戦い – その2

ログイン履歴を保存できるプラグイン「狂骨」をインストールした知人から、こんな話がありました。
「管理者アカウントを admin 以外にしていて、author リンクとかはサイトに一切表示していないのにそのアカウントへのアタックが観測されるんだけど…」

原因が良くわからなかったのですが WordCamp Kobe 2013 の懇親会での LT で謎が解けました。
要約すると…
「WordPress では /?author={user_id} にアクセスすることで、著者アーカイブにリダイレクトされる。
　その URL からログインユーザ名を取得することが可能。
　通常最初に追加されるユーザのユーザ ID は 1 なので、攻撃者は /?author=1 に対してリクエストしてくる。」
ってことです。

そんなわけで、気持ち悪い人は以下のようなプラグインを使用して著者アーカイブのスラッグ自体を変更してあげましょう。

他の対処法としては、みやさんが作ったプラグイン「Force email login」でログインユーザ名ではなく、登録されたメールアドレスでログインするようにする方法も有効ですね。

以下に「Edit Author Slug」の設定方法を説明します。
続きを読む →

WordCamp Kobe 2013 へ行ってきました

コメントを残す

2013年6月15日に開催された WordCamp Kobe 2013 に行ってきました。
僕は、小賀さんと一緒に「AWSを利用したエンタープライズ向けWordPress環境の構築と運用」ってセッションで話してきました。
今回は、国内 WordCamp 連続出席記録を持つおでこんが居なくて残念。
おでこん、来てると思ってたよ…
すいません、写真あんまり取ってないです。

まずは、限定でチャリティ販売されていたレアシールをゲット。
これで僕もワードプレスマスターだぜ！

安定の直さんによる基調講演で幕開け、ぶれないっすな。
続きを読む →

WordPress サイトを静的 HTML に変換するプラグイン StaticPress

12件の返信

実は WordPress サイトを静的 HTML に変換するプラグイン StaticPress をリリースしていました。
ダウンロードは、WordPress 公式プラグインディレクトリからお願いします。
WordPress › StaticPress « WordPress Plugins

このプラグインを使用することで WordPress で作成されたサイトを丸ごと静的ファイルに変換することができます。
また、変換時にサイトのパーマリンク構造を変換することができるため、http://wp.example.com/ というオリジナルサイトを http://www.example.com/static/ というサイトとして公開するための html を作成することも可能です。
完全に静的ファイルを作成するため、コメントやサイト内検索・コンタクトフォームの設置などはできません。
それらについては Disqus や Facebook コメント、Google カスタムサーチ・Google フォームなどで代替するようにサイト設計してください。

残念ながら、現状では Windows 環境に対応できていません。
github でソースを公開しているので、修正して pull request 送ってくれたりすると私が喜びます。
https://github.com/megumiteam/staticpress

Facebook ページなんかもあるので、よろしければ「いいね！」してくださいね。
https://www.facebook.com/StaticPress

あと、私が在籍している digitalcube では higanworks と合同で AWS OpsWorks を利用した自動化ソリューションを提供するサービス Opsrock.in を開始しました。
そこでは、StaticPress で生成した HTML を OpsWorks の StaticWeb レイヤにデプロイするソリューション等も提供して行きますので、こちらもご参照ください。
StaticPress × OpsWorks

以下、簡単な使い方など
続きを読む →

Brute force attack との戦い

コメントを残す

先般リリースした WordPress プラグイン「Crazy Bone (狂骨)」で、ブルートフォースアタックのログを見て、もろもろ設定変更したので、メモ代わりに。

特徴として、非常に多くの IP アドレスからのアタックがあるため、ブラックリストでの IP アドレス制限は現実的ではありません。
IP アドレス制限を行うなら、ホワイトリストでの制限をかけないとですが、それをやると出先でブログを書こうとかするとメンドくさいです。
そこで、以下の対策を行いました。

狙われやすいアカウント名でのログイン試行は、WordPress 読み込み前に拒否
ユーザーエージェントでの wp-login.php へのアクセス制限

続きを読む →

木内酒造でビール仕込んできました

コメントを残す

日本で唯一、ビール仕込みまでの行程を体験できる常陸野ネストビールの
手造りビール工房で、ビールを仕込んできました。
常陸野ネストビールのスタッフにサポートしてもらいながら、半日ほどの行程でビールの仕込みができる手造りビール工房、おすすめです！
僕らができるのは、スタイルの選定 → 酵母添加までです。これ以降の発酵・熟成、ボトリングは常陸野ネストビールさんがやってくれるとのことで安心です。

お値段は大体ビール一本辺り600円くらいになります。
僕らは、およそ75本のビールができる25Lコースで、ホワイトエールを仕込んできました。
アルコール度高め(8%)でお願いしたので、完成は6週間後くらいになるとのこと、出来上がりが楽しみです。

詳しいことは、一緒に行ったカイさんが、ブログにまとめてくれてるので、そちらもあわせてどうぞ！
自分好みのオリジナル地ビールを作りつつおいしい地ビールも味わえる木内酒造の「手造りビール工房」はビール好きに全力でオススメ – カイ士伝
 続きを読む →

WordPress 10th Aniversary

コメントを残す

WordPress 10 周年ということで dogmap.jp のヘッダ画像を期間限定で変更してみました。
テーマ Twenty Twelve を使ってる場合は、Jetpack プラグインのカスタムCSS編集で簡単に変更できます。
レシピを gist に置いておきますね。

url("/path/to/wp-10th-aniversary.png") の所は、WordPress 10th Aniversary ヘッダを保存した URL に書き換えてやってください。

「狂骨」に諸々機能追加した Ver.0.4.0 をリリース

9件の返信

WordPress へのログイン履歴を保存するプラグイン「Crazy Bone(狂骨)」に諸々機能追加した Ver.0.4.0 をリリースしました。
WordPress › Crazy Bone « WordPress Plugins

追加した機能は、以下の通り

ログイン中の IP アドレスとは違う IP アドレスからログインされた場合に警告メッセージを表示 (Ver.0.2.0 より)
指定した日より以前のログを消去する機能を追加 (Ver.0.3.0 より)
エラー時に入力されたユーザーアカウント/パスワードを表示 (Ver.0.4.0 より)
ログイン回数等のサマリー情報を表示するページを追加 (Ver.0.4.0 より)

詳細は、以下の通りです。
続きを読む →

WordPress のログイン履歴を保存するプラグイン「狂骨」

4件の返信

WordPress へのログイン履歴を保存するプラグイン「Crazy Bone(狂骨)」を公開しました。
「絡新婦」に続く、日本の妖怪シリーズ第二弾です。
インストールは下記 URL からお願いします。
http://wordpress.org/extend/plugins/crazy-bone/

@msng が、早速ブログで書いてくれてますがブルートフォースアタックの履歴を見れたりして面白いですよ。

WordPressへの不正アクセスログを記録して見せてくれるプラグイン Crazy Bone – 頭ん中

バナー画像、絶賛募集中です。作ってくれる奇特な方が居たら 772 x 250 の PNG 形式でおねしゃす。
この記事のコメント欄か twitter で @wokamoto まで、ご連絡ください！
絡新婦のバナー画像みたいにして、狂骨の絵をあしらっていただけると嬉しいです。
# 絡新婦のバナー画像は Digitalcube の @banjo006 に作ってもらいました。
# ばんじょー、サンキュー！

2013-05-17 追記: さっそく作ってくれた人が居ました。あざます！かっこよす！

@wokamoto CrazyBone使わせてもらってます。ありがとうございます。バナー作ってみました。お気に召しましたらお使い下さい。http://t.co/741vhdK0aI

— keegeek (@KeeGeeek) May 17, 2013

続きを読む →

Engine Yard で WordPress を動かす

コメントを残す

先月辺りから、クラウド上へアプリケーションをデプロイできる PaaS Engine Yard で PHP が使えるようになってます。
Engine Yard では、無料トライアルでも 500 時間使えるので安心ですね。
そんなイケテル PaaS Engine Yard に WordPress をデプロイしたとかの情報があまり見つけられなかったので、ここに書いておきますね。
# Drupal をデプロイする方法は、Engine Yard の安藤さんが書いてくれてます。
# Engine Yard Cloud上のPHPにDrupalをデプロイ – Engine Yard Blog JP | Engine Yard Blog JP

git さえ使えれば、簡単に Web アプリケーションを Engine Yard 上にデプロイできるので楽しいですよ。
ちなみに今回デプロイした WordPress は、これです。
http://ec2-54-225-114-132.compute-1.amazonaws.com/
そのうち消えると思います。
続きを読む →

コメントに困る WP プラグイン作ったよー

2件の返信

WordPress の管理バーをイケテル感じにしてくれるプラグイン rainbowify ~~をパクって~~にインスパイアされて、コメントに困るプラグインを作りました。
デモは、こちらから
※IE では動きません。Chrome か Firefox で閲覧してください。
http://lab.dogmap.jp/archives/1402#comment

もし、インストールしたいのであれば github でソースを公開しているので、そちらから入手してください。
https://github.com/wokamoto/rainbow-comment-form

これを有効にすると、コメント入力中に人から見られても、メールアドレスがバレにくいと思うよ。