WordPressのセキュリティ対応

最近、WordPress 4.7 と 4.7.1 の2つのバージョンで、深刻な脆弱性が発見されました。ログインしなくても誰でもページを修正できてしまう、というものだそうで至急最新版への更新が推奨されています。


派遣先の大学では、講座毎の活動などをブログで情報発信しています。また、県内企業とのプロジェクトをブログをベースにしたWebページで紹介したりもしています。実に多くのブログが使われています。


それらの中には、今回、脆弱性が指摘されたバージョンがあるかもしれません。そうした場合、いたずらされる可能性があるので、管理する立場としては放置できません。しかも、大学の総務宛に、文部科学省の大臣官房政策課情報システム企画室という部門から、この脆弱性に対する注意喚起のメールも届いていたそうです。立場的には、対策を行ったというポーズだけでもする必要があります。


ということで、使われている WordPress のバージョンを確認して、該当するバージョンを使っているサイトの管理者に、更新を指示することになりました。


幸い、学内で使われているブログの多くが1台のサーバーにあり、1つのディレクトリに格納されています。このディレクトリから WordPress のサイトを探し出し、そこで使われている WordPress のバージョンを調べてリストを作ればいい訳です。そして、該当するバージョンが使われていたら、そのサイトの管理者に更新するように伝えて対処してもらうことになります。


ここで、私の作業は、このリストを作ること。

WordPress のサイトかどうかは、ディレクトリの下に、wp-config.php というファイルがあるかどうかで判定できます。また、WordPress のバージョンは、wp-includes というディレクトリの下に version.php というファイルがあり、これに記載されています。

 

また、ブログの名称や管理者の連絡先は、データベースに記載されてますが、先ほどのwp-config.php にデータベースにアクセスするのに必要な情報が記載されているので、これで接続し、該当するデータを取り出せば確認できます。

ということで、PHP で作ることに。


実は、ブログの最終更新日を調べたり、主に画像データですが大量にHDDを使っているサイトを調べたりするため、このディレクトリにある WordPress のリストを作るスクリプトは既に作ってあった。PHPディレクトリ一覧を調べる関数や、ファイルを読み込む関数、MySQL にアクセスしてSQLで問い合わせする、とまあ基本的な関数ばかりで作れます。

 

途中、ディレクトリのリストから WordPress の情報を格納する配列を作って、連想配列でデータを入れていくだけ。最後にそれを使ってCSVファイルに書き出して終了です。別に、ruby とかでもできそうですが、私はこういった処理、特にデータベースにアクセスする処理では、PHPに慣れていたのでPHPを使いました。


こうやって調べたところ、1件だけ該当してしました。そして、担当者に連絡してもらって WordPress を更新してもらいました。


該当するのが1件も無いと、ほんとうに調べたのか、と思われてもつまらないし、そうそう該当するサイトがあっても面倒。1件該当してて、それを確実に更新しました、というのはよかったのかも、なんて思ってます。

 

f:id:muzina_630:20170207164051j:plain

DeNAの第三者調査委員会をかたるメール

昨年の11月末に閉鎖した問題の多かったキュレーションサイトに関連して、私のEメールアドレスに、株式会社ディー・エヌ・エーの第三者調査委員会からのメールが届きました。


まず、タイトルを見て、何かの勧誘か、それともウィルスか、と疑ってしまいました。迷惑メールのフィルターを設定していないメーラーで受け取ったので、まず、やばいのが着たのかもと感じました。


とりあえず、怪しい添付は着いていません。さらに、変に長いURLもありませんでした。もしかしたら、本物かも、と思っています。


私は、複数のEメールアカウントを使っており、今も非公開になっているサイトの作業でのやりとりには、このメールアドレスを使っていませんでした。しかし、作業を行うためにサイトにアカウント登録した際、このEメールアドレスを使ったのかもしれません。


なお、このサイトは仕様上、誰でも記事を書いて公開できる仕組みでした。そのため、アカウント登録の際、Eメールを登録したような気がします。そうやって登録したメールアドレス全員に送ったのでしょう。中には、ほとんどの記事がアルバイトが書いていると知らずに、自分の画像を使い、日記感覚で自分の文章で書いておいたのに、それが非公開になってしまい、しかもこんな問題に巻き込まれた不幸な人もいるんでしょうね。


第三者調査委員会の名を借りて、詐欺に利用するする人がいないとも限りません。
私はこのメールは無視するつもりです。
しかし、クラウドサービスでやり取りしていた発注担当者から連絡があれば、真摯に対応したいと思っています。(たぶん、ないでしょうね。)

FindTravel見れなくなってました

FindTravelが見れなくなったのに気が付いたのは、12月1日でした。

前日までは、見えてたので油断してました。「Welq」のニュースは、かなり注目してました。どうも、11/30の夜9時くらいに見れなくなったみたいです。

 

【魚拓】DeNAパレット 消されたFindTravelの現状 【復活】

 

DeNAもFindTravelも世間様にごめんなさいしましょうね^^。

 

非公開は突然おきました。なぜおきたのか教えてもらえません。

会見の記事を読みました。WELQ記事も読みました。

Find TravelWELQ共通ではありません。どうしてメリーは守られたのでしょうか?コピーリライトを指示するどころかそれをしないよう注意をしていました。著作権も同じです。連載などのオリジナルも頑張っていました。嘘が含まれた会見内容に、不信感が募る毎日です。

FindTravelは思いをこめてつくられた旅行メディアです。かかわれることを誇りに感じていました。けされたことが悔しいです。FindTravelのファンも悲しんでいることでしょう。

Iさんが出社していない話は本当です。新社長Mはこんな非常事態にもかかわらず、渋谷ヒカリエにいません。騒ぎになったことについて弁明するばかりで会見内容について謝罪はありません。この人は信じられないなと思いました。

IさんとOさんの体制に戻って欲しいです。

社長がいない中での炎上。OさんとTさんは泊まりこみで謝罪対応をしています。私達ひとりひとりにも頭を下げていました。明るく振るまうのをみるほど胸がしめつけられます電話を聞いているだけで大変さがわかります

その現状をDeNAの人は知っているのでしょうか。海外からわかるのでしょうか。

ニュースをみて、FindTravelの大きさを改めて感じました。同時に責任も感じました。

記事問題がないかチェックを皆で頑張っています。待っている人に1日でもはやく記事を届けたいです。

http://anond.hatelabo.jp/20161204011038

 

内部の方でしょうか。

ここ何か月か、毎月のように記事の間違いを指摘させてもらったきたので、もう愛着がわいてました。

見れなくなってとても残念です。

編集の方からは「内部でチェックの人員を増やすので、大丈夫」との返事ももらっていたでの、これからだったのでしょうに。しかし、既に4万件の記事があるので、これを人がチェックして回るのでは、現実的ではないし。毎月数百の記事が更新されていたのを考えると、別の方法を何か考えていかないと、短時間では、再開できないかもしれませんね。

 

とはいえ、健康テーマとちがい、旅行系は書いた人の趣味の世界でかたずけられるので、よっぽどひどいのでなければ、まだ、生き残れるかも。まあ、Webで参照できる情報は、オリジナルがどれか解らないくらいコピーのサイトが林立しているし。

 

ただ、FindTravelも、いかにも google のロボットに読んでもらおう、という記事はなんとかしてほしい。紹介の文章だとおもったら、同じ内容が2重、3重に書いてあって、人に読んでもらおう、という意図が感じられない。そういう紹介は改善してほしい。

 

まあ、新しい人たちが、いいサイトにしようとがんばるなら応援したいな。

新しい勤務先

4月11日から新しい勤務先で勤務してます。

大学の事務局でも、施設管理をたんとうしている部門で、サーバーの管理他が仕事です。まだ2日目ですが、少ない人数でなんとかこなしている部署、というのが解ってきました。

 

前の横浜で勤めていた部署も、こんな感じでしたね。

施設を見ているから、いろいろ問い合わせや業者の人との打ち合わせがひっきりなしにあり、パソコンの管理もあるので、その問い合わせも。

 

新学期が始まったばかりで、みんなたいへんみたいです。

そんな中、なかなか自分のポジションが見出せず、今のところおとなしくしてますが。

そのうち、うまくなじんでいきたい。

 

4月開始の新しい派遣先

3月末までは、工場の派遣で働いていましたが、早いうちに契約終了が解ったので、再就職先を探していました。ちょうど、ハローワークにサーバーエンジニア派遣の仕事の募集があったので、紹介してもらい、採用されました。

派遣先で、雇用するのに起案処理が必要ということで、実際に働きだすのは4月11日(月)からで、実はまだ行ってませんが、派遣会社から正式に連絡がありました。

 

思えば、去年の8月に前の会社を辞めて、9月から工場派遣を始めたのですが、そろそろ自分の得意な仕事に戻れそうです。

 

さて、新しい仕事ですが、Linuxのサーバー管理と、情報システム部がやりそうな雑用。

サーバー管理とは言っても、実際に何があるかは、まあ、実際に仕事を始めないと解らないでしょう。どうも、CentOSを使っているとか。これは、Red Hat のコピーで、まあ、標準みたいなものなので問題ないのですが、ブランクがあるのでそこだけ心配。

 

この年で、まったく新しい人間関係を作っていくのは、それなりに難しいのですが、ちょっとワクワクしてます。

 

Linuxのデスクトップはそろそろ限界かも

今、Linuxの限界を感じてます。

 

Linux を使う理由の1つは、ちょっと前のPCでもさくせく動くこと。私が使っているCore2Duo 搭載のノートPCでも、インストールした多くのソフトはまだまだ軽快に動作します。

 

しかし、最近、遅く感じることが多くなりました。

実は、今、ネットの内職をやってます。好きなテーマを選んで、それについて何文字かの文章を作ると、お金が支払われるやつ。これのテーマ一覧がグーグルのスプレッドシートに記載してあります。

 

LinuxのノートPCで、このスプレッドシートを開くと、いらいらするくらい遅い。

他にも、フラッシュなどのブラウザ上のリッチクライアント系は、全て遅く感じます。

これらは、メモリーも使うみたいで、こういうのを開きすぎるとメモリー不足が発生するし。

 

どうもOSの問題ではなく、PCのスペックが足りない、という気がしてます。

PCでフラッシュで動作しているブラウザゲームが、Android ではダウンロードソフト、というのも幾つか見てます。PC用は、大きなリソースを使える、という前提でこういったサイトが作られているのかも。しかも、増えているし。

 

GoogleChrome OSは、OSをブラウザで作ったものらしいですが、今後、従来OS場にあったアプリが、クラウド上にありネットで開くようになると、このOSもありかも。フラッシュにしてもJavaScriptにしても、ベースさえあればブラウザ上に高機能なアプリを動作させることができる、ということが広がっていると思うのです。

 

一方、Linux のデスクトップはというと、やはりソフトをインストールして使う、が前提です。これに、ブラウザ上のリッチクライアントを高速に、しかも、リソースを最小限で実行する、という機能が必要になってきます。この点は、MicrosoftGoogle の方が進んでいる気がします。

 

そのうち、Windows なら快適に動作するブラウザゲームが、Linux では遅くて使えない、なんて時代が来るよう予感がしてます。(というか、もう来てるの?)

 

蒼海の武装商船、Linuxで動いた

蒼海の武装商船、以前から Linux 版(Ubuntu)のChrome で、やっているのですが、戦闘ステージは、動作しないのであきらめていました。

 

昨日、偶然、動くことがわかりました。

ゲーム画面には、Flash Player のバージョンは、14.0.0 と表示されています。

パソコンのスペックも低いので、かなり辛いと思っていたのですが、なんとかソロゲームは可能でした。

しかし、チーム戦はだめみたいです。最初の1分くらい全く動作せず、やっと動いたと終わったら戦闘が終わってました。

 

ソロプレイのシーン。

f:id:muzina_630:20160102210559j:plain

 

これができると新しい町にいけるようになるし、ゲームの幅が広がるかも。

しかし、ブラウザでリアルタイムゲームができる時代なんだと、改めて実感。