カテゴリー別アーカイブ: WordPress

WordPress自動更新時の注意

自動更新時に接続情報を求められるのを回避する為に、
WordPressディレクトリの所有者をapacheなどに変更したままにしている人向け。

ググって調べてると
“wordpressディレクトリの所有者をapacheに変更すると自動更新できるようになります。”

で、終わっているブログを良く見かけるのですが、これだけだと危険です。
自動更新が終わったら、所有者はrootなりなんなり、もとに戻しましょう。

仮に使用しているプラグインやテーマ、WordPress本体に脆弱性があって、管理者権限がのっとられた場合、以下のような事が可能になります。

管理画面からテーマやプラグインの編集画面に移動する。
ファイルを実行したいコードに書き換える。
アクセスして実行する。

好きなphpコードを実行できるので、それ自体でどこかを攻撃したり
apacheの権限で読めるファイル(Webルートに限らず、/etc/passwdとか)にアクセスできるので、それを攻撃のとっかかりにしたりと
割と色々できます。

なので、apacheのままで運用すると危険です。

自分が自動更新するときは、以下の方法で自動更新しています。
所有者をapacheに変更する。
selinuxをPermissiveにする。
自動更新する
selinuxをEnforcingにする。
所有者をもとにもどす。

Tweet Blenderでプライベートリスト(private list)を見る

WordPressプラグインのTweet Blenderでプライベートリストを見る方法。
余計な設定はいってるかも。

・Twitter にアプリケーションを登録してConsumer KeyとConsumer Secretを取得
(Twitter Oauth 登録あたりでぐぐる。Application Type の選択はBrowserを選択する)
・取得したKeyとシークレットパスをwp-content/plugins/tweet-blender/lib/twitteroauth/config.phpに直接書く。
・Tweet Blenderの設定を変更する。
(設定→Tweet Blender→AdvancedでRe-route Twitter traffic through this serverにチェックをいれて、user account based with oAuthを選択。Save Settingを忘れずに)
・Tweet Blenderウィジェットに見たいリストを登録

curlがらみでエラーがでてるなら、
・php5-curlパッケージがインストールされているか確認。

アクセスログ

WordPressのプラグイン「Slimstat-Ex」に不思議なリモートホストからのアクセスが記録されている。
172.16.248.84
うちのLANで運用しているIPアドレスのセグメントは192.168.0.0/24なので違う。
さらに、apacheのaccess.logにも記録されていない。
正確に言うと同じリファラー(googleの検索結果)、同じリクエスト先で、違うipアドレス(グローバル)からのアクセスが記録されている。
Slimstat-EXのバグ?