- 2006-01-07 (土) 1:49
- WordPress
先ほどドラクエしてると唐突に来るようになりました。
しかもコメントスパムとトラックバックスパムの両方が。 困りますね。
以前、ドメインがDDNSでlonghorn.zive.net, サーバが自宅、システムがXOOPSとXOOPS向けのWordPressモジュールという形で運用してたときにも頻繁に来てたのを思い出しました。
確かそのときはBlacklistとかゆープラグインをWordPressモジュールの配布元サイトで配っていたため、そいつを利用してました。
あれからドメインがfrancisca.ccへ変わり、サーバも有料レンタルへ移行し、システムもμ-sを経てWordPressMeへと移行、辛うじてログはある程度拾えたものの、パーマリンク構造すら維持してない、張っていたリンクも結構閉じてしまったとかあり全然スパマーの諸君らからアウトオブ眼中だった期間が去年一年間くらいだったわけですが、この度どうやら標的にされてしまったようですXD
とまぁ前置きは長いですが、対策を行いました。
WordPressくらいの有名なシステムともなれば、Tipsを書く人も多いし別段書くこともないんですが、たまたまおいらがドジ踏んでしまったので注意点残しておきます。
環境 :
システム : WordPressMe 1.5.1.3
文字コード : UTF-8
対スパムプラグイン : WordPress Hashcash 3.0 BETA(日本語翻訳版)
です。 普通です。
手順はdetlog.orgさんのBlogにあるWordPress Hashcash アップデート情報(3.0 BETA)というエントリーに書いてあります。
detlog.orgさんのところから.phpと.libになるテキストファイルをダウンロードし、文字コードを自分の環境に合わせwp-content/plugins/に保存。
あとは本家であるElliott BackというBlogのWordPress Hashcash 3.0 BETAというエントリーからwp-hashcash-getkey.phpとwp-hashcash.jsをダウンロードし、同様にwp-content/plugins/に保存。
ここまでで四つのファイルがあるはず。 これはdetlog.orgさんのところにも書いてます。
そしてアップロード。
管理画面よりプラグインを有効化、とここで説明は終わってるんですがコレだけだとプラグイン管理画面でエラーが出ました。
エラー内容はなんだかよくわからないですが、ファイルのオープンおよびクローズが上手くいってない。
んでなんてファイル名かというと上記で用意した四つのファイル以外のファイル。
名前はwp-hashcash.keyでした。
解決法。
簡略化出来ますが、ちゃんと書きます。 ていうか手順書くほどのことでもないんですが:-P
1. FTPクライアントソフト等を使い、pluginsディレクトリのパーミッションを一時的に書き込み許可にする(一時的なので777とかでもOK)。
2. プラグイン管理画面を出す。(wp-hashcash.keyが生成されます。)
3. FTPクライアントソフトでpluginsディレクトリを再度走査し、wp-hashcash.keyが生成されていることを確認します。
4. 1)の手順で変更したpluginsディレクトリのパーミッションを元に戻す。
終わり。
ここからは余談。
手順を書いてて気がついたんですが、たぶん、パーミッションの関係かと。 そりゃそうなんですがね。
権限の強さが
Apacheを動かしているUser < Webシステムを動かしてるUser
という形だとこういう現象が起きるんじゃないかと思います。
※追記 大小関係ではなく、別次元というか、隣のクラスというか、そんな関係かも。
少なくともXREAだとこうなっちゃいます。 というかXREAくらいしか発生しないんじゃなかろうか。
生成されたwp-hashcash.keyの所有者がおいらのアカウント名ではなく、Apacheを動かしてるユーザ名で生成されてました。
試しに
< ?php
touch(“test.data”);
?>
なんてのでテストしたんですが、やはりApacheを動かしてるっぽいユーザ名で生成。 パーミッションも755じゃ作れず、プラグイン管理画面上のことと同様のことが発生しました。
ついでにApacheを動かしてるっぽいUserはFFFTPでいうところの権限「その他」のランクに位置づけられてました;)
おそらく、Apacheを動作させてるUserが乗っ取られたときに、
$ rm -rf /home/*
みたいなことをされないための処置かもしれませんね。 うーん、なるほど。
今まで仕事上も含め単一ユーザでしか使わないWebサーバ構築しかしてなかったおいらには、ちょいとカルチャーショック。
昔からunix/Linux触ってたりする人には当たり前かもしれませんね;) 精進あるのみです。
- Newer: TEPCOひかりが開通した!
- Older: W-ZERO3用の携帯型外部バッテリーを入手
Comments:0
Trackbacks:0
- Trackback URL for this entry
- http://francisca.cc/2006/01/07/wordpressme-%e3%82%b3%e3%83%a1%e3%83%b3%e3%83%88%e3%82%b9%e3%83%91%e3%83%a0%e3%83%88%e3%83%a9%e3%83%83%e3%82%af%e3%83%90%e3%83%83%e3%82%af%e3%82%b9%e3%83%91%e3%83%a0%e5%af%be%e7%ad%96/trackback/
- Listed below are links to weblogs that reference
- [ WordPress ] コメントスパム/トラックバックスパム対策 from 私事。 跡地