WordpressWP-Plugin,セキュリティ

medium_2152798588
photo credit: Ian-S via photopin cc

自分は複数のWordpressサイトを運用してたりするのだけれど、その一つがwpXで運用してて、wpXのセキュリティ関連サービスとして「ログイン施行回数制限」というのがある。
短時間に何度もログイン失敗が発生した際にアクセス制限がされる機能で、パスワード総当たりをするブルートフォースアタックに対応するセキュリティサービス。
で、wpXで運用してるサイトにログインしようとしたときに上記のアクセス制限がされた旨の画面が出てきてびっくり。

ブルートフォースアタックについては話には聞いていたが、いざ自分の管轄してる部分で起きるとなんとか対応しなきゃ・・と思うね。
他のサーバーで運用してるサーバーにはこのようなアクセス制限機能がついてないので、サーバー負荷的な部分でも負担をかけてるのかも…ということで早速2段階認証をつけることにした。

いろいろ調べてみたら、iOSやAndroid端末用アプリのGoogleの認証システムを利用したプラグイン「Google Authenticator」がよさげな感じ。

[ Googleの中の人も使ってるらしいWordPressでGoogle2段階認証を使うプラグイン | アンギス ]

詳しい導入方法は上記サイトでわかりやすく説明されてます。 (丸投げ)

自分はすでにGuildWars2のアカウント認証でGoogle認証システムを使っていたので、簡単に
1.プラグインの導入
2.認証アプリからQRコードの読み取り
3.ログイン画面に認証コードが追加
で、さくっと2段階認証の実装ができました。

2014-0130_wplogin

認証系はいろいろ面倒になってきているけれど、何かあってからでは遅いので仕方ないのよね…。

WordpressWP-Plugin

medium_2536017020
photo credit: Nikolay Bachiyski via photopin cc

Ver.2.xの頃(詳しい時期は忘れちゃった)からWordpressの基本機能として実装している投稿のリビジョン機能。
間違って更新しちゃったー って時は更新前に戻せるので便利ではあるけれど、副作用としてそれぞれ自動保存されてる記事ごとにPOST IDが振られているので実際に公開している記事のPOST IDがとびとびになる。
当ブログとかPOST IDがパーマリンクになっているので、それがとびとびになっているのは仕様上全く問題なくとも、なんとなく気持ち悪い。
またそれなりにデータベースのサイズも大きくなる。

まぁリビジョン機能が不要であれば wp-config.php を編集して

define(WP_POST_REVISION, false);

を追加すればよいのだが、サーバ移転等でうっかり設定し忘れると、リビジョン機能が有効になってしまい後からウガーという状況になるのでプラグインで制御できるものを探してみた。

[ WordPress › Revision Control « WordPress Plugins ]

Revision Ctrl

設定画面は日本語化されてて、リビジョン機能を使わないのであれば「保存しない」を設定すればよい。

このプラグインは単なるリビジョン機能のON/OFFだけでなく、リビジョンの範囲も設定できる模様。
…説明等は下記サイトで。
[ Revision Control(リビジョン機能制御用WordPressプラグイン)の導入方法と使い方 ]



リビジョン関連ではもう一つ。

すでに作成されてしまったリビジョン関連のデータを削除するプラグイン。

[ WordPress › Better Delete Revision « WordPress Plugins ]

delete_revision

ボタン一つでリビジョンデータの削除とデータベースの最適化をしてくれるプラグイン。

自分も利用して特に問題はないのだけれど、一応データベースのバックアップを取ってから削除作業はしたほうがいいかもね。

WordpressDropbox,WP-Plugin

先日から WordPress のバックアップを Dropbox へ行っていたがDropboxをほかの用途でも使っていたので容量的に非常にカツカツな状態だった。

[ [WP] WordPressをDropboxへバックアップ | sideblue weblog ]

Dropboxの有料アップブレードも視野にいれないとだめかな・・・と思ってたのだけれど、バックアッププラグインの「BackWPup」の設定画面を眺めてたら、バックアップ先にSugarSyncがあるじゃない。

SugarSyncは結構前にアカウントとったはいいが、画像のバックアップの一時退避用くらいにしかつかってなかったので容量的には十分空きがある。
ここでいいじゃん!
ってことで SugarSync 内にバックアップ用のフォルダを作ってそこへバックアップファイルを作成するようにした。

Dropboxへの認証を切って、Dropboxにバックアップファイルを転送しないようにして設定更新。



[PR] SugarSync を新たに利用する場合はこの紹介リンクからアカウント作ると容量UPでよいと思いますw



追記:SugarSyncのAPIは転送速度が遅いためにバックアップファイルの容量が数百MBになるような場合はプラグインのタイムアウト時間(10分)に引っかかって転送できない場合があるようです。

[ BackWPup を SugarSync にできた! その設定方法 | thikasa note ]

上記サイトを参照にプラグインのファイル書き換えでタイムアウト時間を伸ばすことでバックアップファイルの転送が可能になるようです。

だがしかし、自分の別ブログの方はバックアップファイルが500MB以上あるのでそれでも成功せず。。。ジョブを小分けにするしかないかなー



追記の追記
Uploadsファイル群は年でフォルダ別けされてるので

こんな感じで年ごとにJobを分けてみた。
100MB前後であれば、タイムアウトエラーも出ずにさくっとバックアップファイルの転送ができた。

ちなみに去年までのフォルダは新たにファイルが追加されることはないので「Activate scheduling」のチェックを外して一度だけのバックアップ。
あとは来年になったら2012の設定をコピーしてバックアップ対象フォルダを2013にすればいいかな。と。

WordpressDropbox,WP-Plugin

[ [う]WordPressのバックアップファイルをDropboxに保存するプラグイン「backWPup」 | うかブログ ]

データベースのバックアップ自体はWordPress Database Backupプラグインで定期的にGmailへ送信するように設定してるが、テーマやプラグイン、アップロードした画像なんかは移転のタイミング以外にはバックアップは取ってなかった。。

ローカルにも一応データは残ってるとはいえ画像データなんかはあちこちに点在してるので、やはり一か所にまとめておきたい。

ってことで(?)発見したのが上記ページとプラグイン。

Dropboxが絶対安全ってことはないが、DropboxにデータがあるってことはDropboxを利用してるPCそれぞれにデータが残ることになるのでデータ損失の危険性は減る・・かなぁ。と。

インストール方法とかは上記サイトを参照してもらえれば、さほど難しいことはないのでいいとして、やっぱり気になるのはDropboxの空き容量。
そこそこ長く使っているのでいつの間にか6GBほどまで容量は増えているが、そこそこ長く使ってるおかげでデータもそれなりに貯まってるわけで。

これから Dropbox を使ってみようかな・・・って方は下記リンクから登録してくれると幸せになれると思いますw
https://www.dropbox.com/referrals/NTE4MTA0Nzk?src=global9

WordpressWP-Plugin

WordPressは仕様として新規投稿時のみでなく更新時にも更新pingを飛ばすのだが、それを新規投稿のみに制限するプラグインがある。

「 Smart Update Pinger 」が昔からあるプラグインで当blogも昔から利用してたのだが、最近どうも機能してない感じ。
Wordpress本体のほうはどんどんアップデートしていっているが、上記プラグインは何年も更新していない状態なので最近まで動いてたのが不思議なくらいではあるのだがw

で、代替となるpingプラグインをさがしてたら
cbnet Ping Optimizer
というプラグインを発見。
[ WordPress › cbnet Ping Optimizer « WordPress Plugins ]

ちょろっとインストールして試してみたところきちんと動いてるようで、記事更新時にはpingを飛ばさないようになった。


めでたしめでたし。