コンテンツへスキップ
早速ですが、昨日紹介したWordPressプラグイン「WP Login Alerts by DigiP」を、同様な新しいプラグイン「WP Security Login Notification」
WP Security Login Notification
に変えました。
アパッチ系サーバーを使っている人は「WP Login Alerts by DigiP」で何の問題も無いと思うのですが、筆者のサーバーはWindows系なので「WP Login Alerts by DigiP」ではちょっと不具合が生じていたことは、昨日の記事にも書きました。これは、「WP Login Alerts by DigiP」がメール送信関数としてPHPの「mail()」関数を使っているからです。
今日変えた「WP Security Login Notification」の方は、メール送信関数としてWordPressの標準関数「wp_mail()」を使っています。
したがって、Windowsサーバーでも「WP-Mail-SMTP」のようなSMTPメール送信プラグインをインストールして、SMTPサーバーを別途立てておけば、メール送信部分をいじる(カスタマイズする)必要無く、「WP Security Login Notification」で目的が達成されます。
違いは、「WP Login Alerts by DigiP」が
1.「/wp-admin」のログインページがアクセスされたときに、WordPressに設定された管理者Eメールアドレスに、即、Eメール通知を送ります。
2.「/wp-admin」のログインページでログインが成功または失敗したときに、WordPressに設定された管理者Eメールアドレスに、即、Eメール通知を送ります。
の2つの通知が行われるのに対し、「WP Security Login Notification」の方は
2.「/wp-admin」のログインページでログインが成功または失敗したときに、WordPressに設定された管理者Eメールアドレスに、即、Eメール通知を送ります。
しか送信が無いことです。
ただし、Windowsサーバーでは「WP Login Alerts by DigiP」は2.の送信ができなかったので、機能は半分しか使っていなかったことになります。
“WordPress Plugin : loginぺージアクセスのたびに管理者にEメールを送信してくれる(#2)WP Security Login Notification” の続きを読む
WordPressのログインページにBrute Force攻撃して、進入しようとしているハッキングがはやっているそうですね。
Massive botnet using brute force attack to target WordPress sites – 2013年4月13日
Brute Force攻撃とはハッカーが、良く使われる簡単なパスワードリストを全部試してみてログインできるかどうかを試したり、アルファベットと数字の組み合わせを全部試してみてログインできるかどうかをやってみたり、すること。
当然のことですが、一度では「推測」が当たらないので、同じ時間帯に違う推測パスワードで何度もログインをトライします。
何回(何十回、何百回)かでうまくログインできれば、シメシメ。だめだったら、次のサーバーへ犠牲者を求めて移ります。
まあ、これを防ぐには、パスワードを簡単に推測できないようなものに変えることです。大文字・小文字・数字の組み合わせ。長い文字列。
筆者は、意味の無い4文字大文字、5文字小文字、3桁数字の合計12文字を組み合わせています。
したがって、第三者が簡単に筆者のパスワードを推測できない自信は、あります。
しかし、ひとつのサイトでそのパスワードが知られると、他のサイトでも同じパスワードを使っているところは不正侵入される可能性は、ありますが。
これまでもサーバー管理やWordPressサイト管理の経験から、管理者ログイン名でのBrute Force攻撃は十分経験していますので、このサイトでも数ヶ月に一回、そのような痕跡があることはアクセスログで見つけています。しかし、どうしても対策が後手に回ってしまいます。
アクセスログを解析して気が付いた時には、もう、ハッカーはBrute Force攻撃を諦めて終了していた後だったりします。
100数十回で諦めてくれるハッカーも居れば、1000回以上もログインページをアクセスして(当然1000個以上の推測パスワードでログインをトライする)いる形跡も、後でわかったりします。
“WordPress Plugin : loginぺージアクセスのたびに管理者にEメールを送信してくれるWP Login Alerts by DigiP” の続きを読む
個々の説明は、また、暇な時にしますが・・・
参考までに。
当サイトで使用しているWordPressプラグイン。(中には、冬眠化しているものもいくつかありますが・・・)
● Akismet:スパムコメントフィルター。WordPressにデフォルトで付いてくるやつ。
プラグイン・サイト:Akismet
● Allow Javascript in posts and pages:ポスト内でJavascriptを使用できるプラグイン。
プラグイン・サイト:Allow Javascript (JS) in Posts and Pages
● Allow PHP in Posts and Pages :ポスト内でPHPを使用できるプラグイン。
プラグイン・サイト:Allow PHP in Posts and Pages
● Artiss Draft List:下書きや予約公開のポストのタイトルと先頭部分を一部、「チラリ紹介」で表示するプラグイン。
プラグイン・サイト:Artiss Draft List (formerly Simple Draft List)
“BlogFromAmerica.comで使用中のWordPressプラグイン一覧” の続きを読む
「商品購入代行」ページをWordPress用オンライン・ショップ・プラグイン「WPOnlineStore」で
WPOnlineStore プラグイン・ホームページ
Paypal Express決済するプロセスを実際にライブ(live)にして、実際に注文が入ってきてみると、いくつか不具合に気が付ききました。
ちなみにこのプラグインは、オープンソース・ライセンス(無料)のosCommerceのオンラインショップ・プログラム(Online Merchant)
osCommerce ホームページ
のWordPress版です。
したがって、「WPOnlineStore」プラグインも無料で、同プラグインの開発会社は有料サポートで収入を得ています。
WPOnlineStoreのPaypal Express関連のバグ
まず、WPOnlineStoreのPaypal Express支払いゲートウェイの部分に2箇所バグがあり、それを修正しました。現在、そのバグをWPOnlineStoreフォーラムに報告をして、正式対応を待っています。
もし、万が一、読者の中にWPOnlineStoreをPaypal Express決済で使おうとしている方で、バグ修正方法を知りたい方は、コメント欄に書いて下さい。
このバグ修正が無いと、Paypal Express支払い画面から自分のオンラインショップサイトに戻った時に、エラーメッセージが表示されます。ただし、筆者のサーバー環境がWindows 2008/MySQL for Windows 5.1/PHP 5.3なので、その環境で例外的に起こっている可能性も否定できません。
“WPOnlineStore (osCommerce)でPaypal Express決済を使った時の不具合について” の続きを読む
当サイトでは実験も兼ねて、WordPress用オンライン・ショップ・プラグイン「WPOnlineStore」を「商品購入代行」ページに使っています。
WPOnlineStore プラグイン・ホームページ
このプラグインは、オープンソース・ライセンス(無料)のosCommerceのオンラインショップ・プログラム(Online Merchant)
osCommerce ホームページ
のWordPress版です。
約9ヶ月使用してきて代行注文や注文対応処理の部分が一般化してきたので、プラグインのバージョンアップをしたついでに、商品購入代行ページで直接Paypal、または、(Paypalアカウントを持っていない人でもPaypal経由で)クレジットカードで支払いできるようにしました。
小物(SIMなど)に関しては常時最低限の在庫を手元に用意して、即対応できるようにしています。トップアップカードやギフトカードは、注文を頂いてから近所の店に買いに行くことになりますが、それらは常時、店には在庫があるので、問題ありません。
金額の大きなハードウェアに関しては納入までに時間が掛かることがありますので、その点はご了承ください。
また、お支払いはPaypalまたは「(日本円での日本の銀行口座への)銀行振込」が可能です。銀行振込を選択した場合には、こちらからEメールで口座情報をお送りします。
支払い金額が大きく、iPad/iPad Miniなどのように在庫や納期が不安な場合には、お支払い方法に「銀行振込」を選択してください。こちらからEメールでやり取りさせていただき、その後で支払い方法を確定させていただきます。(つまり、注文時に「銀行振込」を選択しておいて、あとでクレジットカードやPaypalで支払うことも可能。)
また、購入したいSIMが自分の使用用途(端末の種類や訪問地)に適するのかどうか判らない場合には、注文を確定せず、フォームかEメールで事前に質問してください。
このプラグインはオープンソース・ソフトウェアを基にしていながら、まだ日本語メニュー言語選択がありません。
言語選択オプションはあるのですが、今のところ英語メニュー・コンテンツしか提供されていません。
今後またしばらく使用しながら、どうしても不便なところから日本語化が必要な画面は日本語にしていく予定です。
ただし、まだ筆者もこのプラグインの使用は「実験中・試験運用中」段階であることをご理解いただき、問題や改善希望点があったら、お知らせください。
例:
Paypal画面で一度支払いを完了した後、元の商品代行ページに戻らない場合には、再度注文/支払いせずに、30分から1時間は待ってPaypal等から支払い完了Eメールが自分に届いているかどうかを確認してください。
そして、支払い完了EメールがPaypalから届いていない場合には、「注文が通っているか」をEメールで筆者に問い合わせてください。
なお、WPOnlineStoreプラグインは、無料で目的(WordPressサイトでオンラインショッピングを運営する)を達成できる点は良いですが、使ってみて、管理者画面の動き(画面切り替わり)が鈍い(遅い)のが難点です。