ノウハウ

テクニカルサポートを得意とするエクスクラウドのサポートスタッフによるノウハウ

セキュリティ対策足りてる?まだまだ甘いよ、キミのWordPress

ノウハウ
たなはる

初期設定のまま放置に放置を重ねたWordPress。セキュリティ事業部の同僚にセキュリティの基本的なノウハウを伝授してもらい、対策したものの、まだ悪夢は終わらなかった。

Web開発者、サーバー運用者を強力に支援する Plesk Onyx リリース

ノウハウ
鈴木 隆之

最新機能を揃えたコントロールパネル製品 Plesk Onyx。Webアプリケーション開発者、サーバー運用者、それぞれへの新たな支援機能を紹介します。

永久保存版!常時SSLのメリットと設定方法

ノウハウ
いきを

今年に入ってからHTTPS対応していないサイトは警告表示がでたり、SSL関連はここ数年慌ただしく変化しています。世間のセキュリティへの意識も高まっていますが、常時SSLってほんとに必要なの?めんどくさいんだけど。。。という方に、常時SSLのメリットと設定方法をご紹介します。

放置してたWordPressを更に放置しようとしたらセキュリティ事業部の同僚に真面目に止められた話

ノウハウ
たなはる

アカウントを得てから、初期設定のまま数ヶ月放置したままのWordPress。パスワードついてるから良いじゃない!っていうところから悲劇は始まるのです。

KUSANAGI MAGAZINEにサポートスタッフの記事が掲載されました |ω・)

ノウハウ
テクニカルサポート

KUSANAGIに搭載されているmonitという監視ツールを利用して、監視によりプロセス再起動時にメール通知を行う設定方法を紹介しています。

複数のWordPressサイト・ブログを運営するのにオススメのレンタルサーバー

ノウハウ
セッションチーム

ドメインの追加やWordPressのインストールが簡単にできるオススメのレンタルサーバーをご紹介します。マルチドメインで大容量なので、複数サイト運用するのに最適です。

2017年1月のこのタイミングでSSLの基本的な話をします

ノウハウ
たなはる

常時SSL化が進み、「保護されていない通信」の警告表示で頭をかかえる方のために、このタイミングでSSLの基本的なお話をご紹介いたします。セキュリティ面だけじゃないSSL化についてカンタンに紹介。

KUSANAGIのWordPressの速さをわかりやすく解説してみた

ノウハウ

KUSANAGIが本当に速いか検証してみました。体感でリンクをクリックした場合の表示速度と大量アクセスの場合のサーバーの処理速度の2つを検証。結果は・・・

ひいき目無しで、KUSANAGI搭載WordPress お試し使ってみた

ノウハウ
たなはる

黒い画面を全く見ずに、かんたんに使えるの?を実証するため、KUSANAGAI搭載WordPressホスティング2週間お試し~ページ公開 までをレポートしちゃいます。

社内新卒女子ブログ by KUSANAGI とSEOの話

ノウハウ
takano

KUSANAGIインストール済WordPress環境でブログ運用してみたので、SEOとアクセス解析目線で報告してみた話。

KUSANAGIの凄さを実感!エクスクラウドのブログをリニューアル

ノウハウ
いきを

当ブログをリニューアルしました!サーバーをKUSANAGI標準搭載のWordPressホスティングのサーバーに移行して「?」となったところ、移行してよかったところの2点をまとめました!

EX-CLOUD for KUSANAGI(エクスクラウドのWordPressホスティング)が出来るまで

ノウハウ
テクニカルサポート

KUSANAGI Advent Calendar 2016の7日目。KUSANAGIを標準搭載したエクスクラウドのWordPressホスティングのプロジェクトはこう始まりました。

WP-CLIを使う ( ユーザ管理、プラグイン管理等)

ノウハウ
テクニカルサポート

WordPressホスティングには「WP-CLI」と呼ばれるコマンドラインツールがインストールされています。 WordPressの管理画面でやる操作を、コマンドラインで行えるようにしたい、ということを目的に作られたコマンドです。 >WP-CLI ヘルプ、ユーザ、プラグイン、コアのよくあるところのコマンドメモです。 0.準備 WP-CLIを言ってますがコマンド本体は「wp」で実行します。実行する前にrootに昇格し、ドキュメントルートに移動します。 SSHでサーバにログイン後、rootに昇格 ドキュメントルートフォルダに移動 既定のWordPressの場合「/home/kusanagi/excloud/DocumentRoot」 # cd /home/kusanagi/excloud/DocumentRoot 1.ヘルプを見る wp help wp コマンドには いくつもサブコマンドが用意されています。 "wp サブコマンド ..."という形で指定します。公式サイトに載っていても使えないものもありますので、ヘルプをみましょう。 サブコマンド一覧をみる wpのすぐ後ろにつけるサブコマンドを確認する方法は以下。 # wp help サブコマンドの例として wp user というものもありますが そのヘルプを見る場合は以下。 # wp help user 参考URL wp help - WP-CLI 2.ユーザ管理 wp user 2.1 ユーザ一覧表示 # wp user list 役割(role)ごとに絞って表示させることもできます。既定では「administrator」「editor」「author」「contributor」「subscriber」の5つの役割があり、この順番に権限が大きいです。 # wp user list --role=administrator administrator のところに他の役割名をいれても確認できます。(administratorは必須なので1行は結果がでますがその他のユーザにいてつは必須ではないので何もでないこともあります) 役割については後述します。 参考URL wp user list - WP-CLI 2.2 特定のユーザの表示名変更 ユーザIDを確認後、アップデートする方法です。update の次にはユーザ(ユーザID、ログイン名、メールアドレスのいずれか)、更新項目 が続きます。 # wp user list +----+------------+--------------+--------------+--------------+--------------+ | ID | user_login | display_name | user_email | user_registe | roles | | | | | | red | | +----+------------+--------------+--------------+--------------+--------------+ | 1 | excldXX | excldXX | taro1@exampl | 2016-11-17 0 | administrato | | | | | e.org | 8:10:32 | r | +----+------------+--------------+--------------+--------------+--------------+ # wp user update 1 --display_name="oresama kanrisha" # wp user list +----+------------+--------------+--------------+--------------+--------------+ | ID | user_login | display_name | user_email | user_registe | roles | | | | | | red | | +----+------------+--------------+--------------+--------------+--------------+ | 1 | excldXX | oresama kanr | taro1@exampl | 2016-11-17 0 | administrato | | | | isha | e.org | 8:10:32 | r | +----+------------+--------------+--------------+--------------+--------------+ 2.3 特定のユーザのパスワードをアップデート 当社サーバで行うと実行後エラーメッセージがたくさんでるのですが、パスワード自体の更新は有効です。 # wp user update 1 --user_pass="xxxx" 参考URL wp user update - WP-CLI 2.4 ユーザ新規追加 wp user create 以下は管理ユーザを新規追加する例です。 # wp user create excldxx taro2@examle.org --display_name="taro2" --role=administrator --user_pass="xxxx" create の直後のユーザ名(上の例では excldxx) 、Emailアドレス(上の例では taro2@examle.org)は必須です。 必須の項目は既存のユーザのものと重複してはいけません。 [ --role=administrator ] の役割のブロックを省略すると、”何もカスタマイズしていない場合”は、デフォルトで --role=subscriber ( 購読者権限 ) でのユーザ作成となります。 [ --display_name="taro2" ]の表示名のブロックを省略すると、ログインIDのパラメータと同じ文字列が表示名として設定されます。 [ --user_pass="xxxx" ] の役割のブロックを省略すると、ランダムでパスワードが付与され、標準出力でその文字が表示されます。 参考URL wp user update - WP-CLI 2.5 ユーザ削除 delete の直後項目は必須です。ログイン名か、EmailアドレスかIDを指定します。そのユーザがこれまで投稿した項目を別のユーザに割り当ててから、該当ユーザを削除するという流れなので、引継ぎ先ユーザIDを指定します。 以下は、7番のユーザさんを1番さんに引き継ぎつつ削除する例です。 # wp user delete 7 --reassign=1 参考URL wp user delete - WP-CLI 3.プラグイン管理 wp plugin 3.1 プラグイン一覧を見る 以下のコマンドはどちらも同じような内容が表示できます # wp plugin status 6 installed plugins: I akismet 3.2 A captcha 4.2.7 A wordpress-faq-manager 1.331 I wp-multibyte-patch 2.8 M kusanagi-wp-configure 0.7 M wp-kusanagi 1.0.9 Legend: I = Inactive, A = Active, M = Must Use # wp plugin list +-----------------------+----------+-----------+---------+ | name | status | update | version | +-----------------------+----------+-----------+---------+ | akismet | inactive | none | 3.2 | | captcha | active  | none | 4.2.7 | | hello | inactive | none | 1.6 | | wp-multibyte-patch | inactive | available | 2.7 | | kusanagi-wp-configure | must-use | none | 0.7 | | wp-kusanagi | must-use | none | 1.0.9 | +-----------------------+----------+-----------+---------+ 参考URL wp plugin - WP-CLI wp plugin status - WP-CLI wp plugin list - WP-CLI 3.2 特定プラグインを無効化/有効化 無効化 # wp plugin deactivate captcha 有効化 # wp plugin activate captcha 参考URL wp plugin activate - WP-CLI wp plugin deactivate - WP-CLI 3.4 特定プラグインを削除 # wp plugin delete hello 参考URL wp plugin delete - WP-CLI 3.5 特定プラグインを検索/インストール # wp plugin search "wordpress faq manager" Success: Showing 10 of 825 plugins. +---------------------------------+-------------------------+--------+ | name | slug | rating | +---------------------------------+-------------------------+--------+ | FAQ Manager | wordpress-faq-manager | 92 | | Wordpress Booking Manager | wp-booking-manager | 100 | | WordPress Twitter Bootstrap CSS | wordpress-bootstrap-css | 84 | | WPB Advanced FAQ | wpb-advanced-faq | 100 | | Clink - WordPress Link Manager | clink | 80 | | WP Course Manager | wp-course-manager | 100 | | FG Joomla to WordPress | fg-joomla-to-wordpress | 94 | | FAQ | powr-faq | 74 | | FAQ | ultimate-faqs | 88 | | CM FAQ | cm-faq | 100 | +---------------------------------+-------------------------+--------+ # wp plugin install wordpress-faq-manager Installing FAQ Manager (1.331) Downloading install package from https://downloads.wordpress.org/plugin/wordpress-faq-manager.1.331.zip... Unpacking the package... Installing the plugin... Plugin installed successfully. 参考URL wp plugin search - WP-CLI wp plugin install - WP-CLI 3.6 インストール済プラグインのステータスを確認/アップデート (以下は「Theme My Login」がインストール済みでアップデートがリリースされている例) # wp plugin status theme-my-login Plugin theme-my-login details: Name: Theme My Login Status: Active Version: 6.4.5 (Update available) Author: Jeff Farthing Description: Themes the WordPress login, registration and forgot password pages according to your theme. # wp plugin update theme-my-login メンテナンスモードを有効にします… https://downloads.wordpress.org/plugin/theme-my-login.6.4.6.zip から更新をダウンロードしています... 更新を展開しています… 最新のバージョンをインストールしています… プラグインの古いバージョンを削除しています… プラグインの更新に成功しました。 メンテナンスモードを無効にします… Success: Updated 1/1 plugins. +----------------+-------------+-------------+---------+ | name | old_version | new_version | status | +----------------+-------------+-------------+---------+ | theme-my-login | 6.4.5 | 6.4.6 | Updated | +----------------+-------------+-------------+---------+ 参考URL wp plugin update - WP-CLI 4.本体管理 wp core 4.1 バージョン確認 # wp core version 4.6.1 参考URL wp core - WP-CLI wp core version - WP-CLI 4.2 アップデート有無確認、アップデート # wp core check-update Success: WordPress is at the latest version. 上記は最新版だったときの例ですが、もし最新版があらたにリリースされていてアップデートしたいときは以下で対応可能です。 # wp core update 参考URL wp core version - WP-CLI wp core check-update - WP-CLI おまけ WordPressのユーザ役割と実際の権限ついて 上述のようにWordPressには既定でユーザ役割が5種類用意されています。 「役割内容の詳細内容を変更する」ようなプラグインもありますし、プラグインによってはそのプラグイン特有の役割が作成されていたりするケースもあるかとは思いますが、あくまでも既定状態のお話に限定します。 WordPress公式サイトによるとこんな各役割でできること以下のような内容となっています。 >Roles and Capabilities - WordPress.org 役割名 説明 購読者 subscriber 自分のプロフィール内容を管理できる 寄稿者 contributor 自分の記事を非公開で投稿したり、管理できる 投稿者 author 自分の記事を作成し公開することができる 編集者 editor 他人の投稿したものも含め、記事を管理したり公開できる 管理者 administrator 1サイト内の管理機能のすべてにアクセスすることができる(プラグインのインストールや削除、設定変更、ユーザ発行等) セキュリティ面においても、たくさん発行したユーザのすべてが「管理者」というのは望ましくありません。 WordPressホスティングをご利用のお客様についても、1サイト内にたくさんのユーザ発行をされている方もいらっしゃいますが、それぞれに、適切な権限のユーザを発行するよう、管理されていらっしゃるようです。

KUSANAGIコマンドで もうひとつのWordPressサイトをつくる

ノウハウ
テクニカルサポート

KUSANAGIコマンドを使って、WordPressのサイトを複数構築する場合の手順をまとめました。

Plesk12の機能紹介 VPSご利用者様アンケートより

ノウハウ
テクニカルサポート

先日VPSプランをご利用の方にアンケートを行いましたところ、Plesk12のそれぞれの機能についてどういうサービスであるか教えてほしいというお問い合わせをいただきました。 既存機能の仕様変更などもございますので、Plesk12の新機能とあわせまして、エンジニアブログにて紹介させていただきます。 Plesk12新機能のご紹介 以下についてはPlesk12になってから新規に搭載された機能です。 ◆不正アクセス制御(Fail2ban) さまざまなサービス(たとえばSSHやPlesk、FTP、メール関連サービスなど)パスワードアタックがないかどうかをログから解析し、ログイン失敗が連続してあったアクセス元からはアクセス禁止処理を施すというブルートフォースアタックへの対策サービスです。 特にSSH攻撃はサーバ開通直後から頻繁に確認され、攻撃のための負荷上昇なども多く確認されておりますので、ファイアウォールを設定する前にでもすぐに有効にしたい機能です。SSHアタックを防ぐには、以下のような設定手順になります。 Plesk>ツールと設定>セキュリティ覧「IP アドレス禁止(Fail2ban)」を開く 初回設定時は、設定タブにて「侵入検知を有効化」にチェックを入れ、「OK」をクリック jailタブにてサービス名(ssh等)にチェックを入れ「オンにする」をクリック ◆WAF機能(ModSecurity) ウェブを介してのアタックには特定のアクセスパターンがあります。そのパターンを検知するとそのアクセスをブロックするという機能です。 ドメイン毎に搭載するか否かを選択できます。CGIやPHPのプログラムを使っているウェブサイトなどには有効です。 >ModSecurity【Plesk12】 ◆PHPバージョン変更 OSの既定で搭載されているPHPのバージョンは変わりませんがウェブサイトごとにPHPの選択バージョンを変更することができます。 >PHP設定の変更【Plesk12】 (既定は5.3.3ですが バージョンを5.4.x、5.5.x、5.6.x、7.0.xにアップすることも可能です) ◆メール送信数制限 これもセキュリティに関連する機能です。メールパスワードが漏洩した場合、そのメールアドレスを不正に利用してサーバへアクセスし、パスワード認証し、外部へ大量のスパムメールを送る手段として利用されるといった事例が多い場合、その対策になる機能です。 そのアカウントを利用して送信されるメール通数、およびそのドメインに存在するアカウントを利用して送信されるメール通数を監視し、一定通数以上はブロックする、という操作が可能になります。標準MTAをQmailではなくPostfixにしていないと使えない機能です。 ただしこの機能はMailmanメーリングリストと併用することができません。 >メール送信数制限設定【Plesk12】(Outbound Antispam) 上記以外にも以下のような機能もありますので、ご参照ください。 >Dropbox Backupの設定【Plesk12】 >拡張メニューのGoogle Authenticatorとはなんですか【Plesk12】 >拡張メニューのSocial Authenticatorとはなんですか【Plesk12】 従来のPlesk機能ももちろん使えます 以下はPlesk8、Plesk11をご利用の場合でも搭載されている機能です。ただし若干の機能変更もあります。 ◆CMSインストール機能 Plesk>アプリケーション あるいは Plesk>ウェブサイトとドメイン>該当ドメイン>アプリケーション よりWordPress等をインストールすることができます。 ◆メールアカウント作成 >新規メールアドレス作成手順【Plesk12】 特に仕様変更などはありません。当社はVPS Plesk搭載プランより、標準のMTAをこれまでのQmailからPostfixに切り替えています。メールログの出力のパスなども変わっていますのでご注意を。 >maillogの確認の仕方を教えてください【Plesk12】 ◆メーリングリスト利用(メール転送、Mailman) これも従来の機能と同様です。 >メーリングリストの作成方法(転送)【Plesk12】 Mailmanはメール送信制限機能とは併用できませんのでご注意を。 Mailmanの有効化には、これまでの初期設定プロセスに加えて、Plesk>ツールと設定>「メールサーバ設定」>「ホワイトリスト」へのIPアドレス追加なども必要です >Mailmanの初期設定【Plesk12】 ◆データベース Plesk12では、1つのデータベースユーザで、同一ウェブスペース内の複数のデータベースに接続することが可能になっています。 >1つのデータベースユーザで複数のデータベースに接続することはできますか? データベース単体のバックアップを手動で取得する方法もこちらにご紹介しています。 >データベース単体のバックアップを取りたいのですが… ◆ファイアウォール 管理者様に大人気の機能です。Plesk12ではFTPパッシブモード接続について、不具合が確認されていますが調整を行えば問題は解消できます。 >ファイアウォール設定【Plesk12】 >ファイアウォール設定を有効にしたら、FTPのパッシブモードが接続できなくなりました【Plesk12】 ◆Watchdog監視 こちらも管理者様に大人気のサービス監視機能です。こちらは負荷によるプロセス停止や応答遅延などがあった場合、自動でサービスを起動する機能です。monitというプログラムが内部で動いています。 >Watchdog サービス監視設定【Plesk12】 ◆ファイルサーバ(Samba) Windowsから接続するファイルサーバとして利用する方法です。※以下はPlesk11のガイドです。 >Sambaモジュールの設定【Plesk11】 ◆VPN機能 こちらは外部のサーバを仮想的なプライベートネットワークでつなぐもので、外部のWindowsマシンや、Linuxサーバをご自身であらかじめ指定しているプライベートIPアドレスを用いて接続します。 ※以下はPlesk8のガイドです。 >VPNモジュールの設定【ADVANCE/EXPERT/Plesk8】 ◆ファイル共有(Webdav) Plesk11以降採用されたこちらはHTTP経由のファイルサーバのような機能です。 ※以下はPlesk11のガイドです。 >WebDAV ファイル共有 の設定【Plesk11】 オプションで利用いただける機能 メールアンチウィルス、SSLなど ◆メールウィルス対策 ちらはPleskオプションを追加購入いただいた場合に利用できる機能です。当社のVPS Plesk搭載プランはKaspersky Antivirusをご提供しています。Plesk従来のDr.Webとはメッセージの出力などが違いますので、ご了承ください。 >アンチウイルス有効化(オプション)【Plesk12】 >オプションについて【VPS】:【VPS】:Pleskオプション ◆SSLサーバ証明書搭載 これも従来のPleskに搭載している機能ですが、証明書についてはオプションになります。 SSLについては、基本は仕様の変更はありませんが、Plesk搭載の仮想専用サーバプランでは2016年4月リリースのVPSプランより、これまでのCentOS 5よりCentOS 6になりました。SSLの「SNI」についても VPSプランでは対応していますので、必ずしもIPアドレスを追加購入しなくても、サーバ証明書を複数搭載できるという仕様になっています。 >SNI(エスエヌアイ) – 用語集(S) >SSL >オプションについて【VPS】:SSL証明書 また、お客様で対応いただける機能としてはPlesk12ですとLet's EncryptというSSL機能もついています。 >Let’s Encrypt【Plesk12】 >SSLの話 その3~ Plesk12拡張 Let’s Encryptはどう動く~ VPSのアンケート結果についてはこちらも参照ください。

ページトップへ