投稿者: Mako

wp-login.php への攻撃に対処する

WordPress, ソフトウェア, , , , コメントを残す

サーバーにログインして作業しようとしたら非常に反応が悪く、どうしたことかと見てみると(普段と違って、コマンドを入力してから応答があるまで数十秒も待たされるのでヒヤヒヤしましたが)、大量の apache プロセスが走っていて、ログには wp-login.php への大量のアクセスが記録されていました。最近よく耳にする wp-login.php へのブルートフォースアタックです。

1つの IP アドレスから5,6回のアクセスがあり、すぐに(あるいは同時に)別の IP アドレスからのアクセスがあります。結局、2時間ほどのあいだに数千回のアクセスがあり、その後沈静化しました。

特に対策らしい対策をしていなかったので、パスワードの強度のみで耐えたことになりますが、実際目の当たりにすると気持ちのいいものではありません。それにどちらかというとサーバーに対する高負荷のほうが心配です。

そこでいまさらではありますが、少し手を打つことにしました。

強いパスワードにする

今回行った対策ではありませんが、そこそこ強いパスワードにしていたので、攻撃に気づくまでの30分間ほどはこのことだけで侵入を防ぎました。

.htaccess で制限する

攻撃に気づいてすぐ、 .htaccess に次のように書いて wp-login.php へのアクセスを制限しました。これは効果てきめんで、すぐにサーバーの負荷は通常の範囲まで下がりました。

<Files wp-login.php>
Order deny,allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>

前述のように攻撃側の IP アドレスは絞り切れないので、Deny に列挙することができません。

さて当面はこれでしのいだとしても、正当に管理画面にアクセスするのが複数の人間で、それぞれの接続元の IP アドレスが固定していなかったりすると、Allow に列挙するのもやっかいです。

WordPress のロックダウン

IP アドレスでふるい分けられないとすれば、wp-login.php のところで何らかの制限をかける方法が考えられます。たとえば Force Email Login は、中心となる機能は「ログインをユーザー名ではなくメールアドレスで」という点なのですが、そのほかに

  • ログインに失敗すると、ログイン処理に対して10秒間 wp_die() を発火させて膨大な量のブルートフォースアタックによるサーバー負荷を軽減します。

ということも行います。

こちらの問題のサイトでは「ログインをユーザー名ではなくメールアドレスで」という機能は必要ないので(というか、ようやく「ユーザー名」が何かを理解するくらいの人たちにもう一度ログイン方法を周知徹底するのが面倒すぎるので)、その部分を削ぎ落とすことにしました。

ただ、これだと誰か(攻撃者)がログインに失敗するとその後10秒間は誰も(正当なユーザーも)ログインできません。たとえば5秒に1回、1週間にわたってログインを失敗し続けるという、もはや「ブルートフォース」とは呼べないようなぬるい攻撃(?)で、そのあいだ正当なユーザーのログインを妨害することができるという欠点があります。

やはり「IP アドレスごとに」という機能をつけざるを得ないのかもしれません。そこで、Limit Login Attempts in WordPress … のようなものにすることにしました。これだと、同一 IP アドレスから1秒間にn回のログインの失敗があったらその後m秒間、その IP アドレスからのアクセスを禁止します ((実際は、1回の失敗ですぐ制限をかけるようにするため、このページのコードを少し修正しました。))。ユーザー名/パスワードを試みる回数は、IP アドレスをチェックしないものよりは増えますが、何も対策しないよりはずいぶん減らせるでしょう。

さて、たとえば1秒間に2か所からそれぞれ2回、3回の攻撃があった場合の対応は、この対策を行わない場合、

  • wp-login.php にアクセス → データベースでユーザー名とパスワードを調べる → 失敗
  • wp-login.php にアクセス → データベースでユーザー名とパスワードを調べる → 失敗
  • wp-login.php にアクセス → データベースでユーザー名とパスワードを調べる → 失敗
  • wp-login.php にアクセス → データベースでユーザー名とパスワードを調べる → 失敗
  • wp-login.php にアクセス → データベースでユーザー名とパスワードを調べる → 失敗

となっていたわけですが、これが

  • wp-login.php にアクセス → データベースで IP アドレスごとの失敗回数を調べる → データベースでユーザー名とパスワードを調べる → 失敗
  • wp-login.php にアクセス → データベースで IP アドレスごとの失敗回数を調べる → 失敗(403)
  • wp-login.php にアクセス → データベースで IP アドレスごとの失敗回数を調べる → データベースでユーザー名とパスワードを調べる → 失敗
  • wp-login.php にアクセス → データベースで IP アドレスごとの失敗回数を調べる → 失敗(403)
  • wp-login.php にアクセス → データベースで IP アドレスごとの失敗回数を調べる → 失敗(403)

となります。いずれにせよデータベースにはアクセスするわけで、1回の試行の負荷はどれほど違い、全体での負荷はどれほど違ってくるのでしょうか。そこまでは調べていません。

apache のモジュールで制限する

データベースへのアクセス前に制限できれば負荷を小さくできるのは明らかなので、前述の .htaccess によるものに代わる、apache のモジュールはないか探してみました。

mod_bw は回数制限ではない、mod_dosdetector は特定ページ(wp-login.php)のみに限定できない、mod_dosblock は IP アドレスごとではない……と、どれも一長一短のようです。ModSecurity だと要求にかなっていそうですが、これだけのためには機能が豊富すぎてルールが難しく、まだ理解できていません。

mod_evasive というのは、IP アドレスごとのアクセス回数を制限できますが特定ページの指定はできないようで、 mod_dosdetector と同じです。しばらくのあいだ、これを試してみることにしました。


管理するいくつかのサイトで、実情に合わせて上述の対策のいずれかをとることにしました。

Debian Jessie での git-completion.bash のある場所

Debian, ソフトウェア, , , コメントを残す

git の状態に応じて bash のプロンプトを変更するようにしていたつもりが、ふと気がつくと、Debian の バージョン Jessie (2103年9月現在では testing) の環境では、機能していない。

何しろしょっちゅう使っている訳でもないので、久しぶりだといろいろと状況が変わっていて、以前うまくいっていたものがそうでなくなっていることがある。

Debian Wheezy 以前なら /etc/bash_completion.d/git があったのだが、Debian Jessie の環境ではそのディレクトリを見ると、git はなくなっており、代わりに git-prompt というのになっている。

どういう訳でなくなったのだろう、と検索しているうちに、git: /etc/bash_completion.d/git gone という情報を見つけた。/usr/share/doc/git/NEWS.Debian.gz に説明があり、要は、以前の /etc/bash_completion.d/git/usr/share/bash-completion/completions/git に移動したので、自分の .bashrc でこれを読み込むようにしている場合は変更せよ、ということだった。

WordPress 3.6 日本語版

WordPress2件のコメント

WordPress 3.6 日本語版がリリースされました。

今回リリースリーダーを担当しました。3月の下旬、そろそろ 3.6 に向けて動き出すよという雰囲気になって以降、beta 版が4回もあるなどリリースまで時間がかかりました。関わった皆さん、ありがとうございました。また、担当は次の 3.7 がリリースされるまで続きます。もうしばらくよろしくお願いします。

実際の翻訳作業は GlotPress という仕組みを使って、多くの皆さんが協力してやってくださるので、リリースリーダーといってもその主な任務はパッケージを作ることです。3.6 正式版の前に beta 版を4回、RC 版を2回、パッケージを作って公開しました。

この手順を、RC2 のときを例にして、ちょっとご紹介しましょう。

と、その前に、日本語版パッケージは何からできているのか、をおさらいしておきます。大元は WordPress 英語版です。それにメッセージの日本語リソースです。それと、その日本語リソースではカバーできない、直接翻訳するしかないファイル(現在のバージョンでは readme.html と wp-config.sample.php くらいです)と WP Multibyte Patch です。この3つを混ぜ合わせて、日本語パッケージは作られています。

はじまりは

と、英語版のリリース情報を知るところからです。だいたい WordPress News を見ていますが、うっかりしていて誰かの tweet やほかの言語の人たちの様子で知ることもあります。

そこでパッケージ作成の作業に入ります。まず翻訳状況を確認します。翻訳作業は GlotPress で行われていて、日本語なら Japanese というところを見ると、未翻訳の数などがわかります。

前日にちらっと見たら未翻訳が残っていて、やらなきゃなあと思いながらも手を付けられずにいたのですが、夜が明けたらあら不思議、その分はもう誰かがやってくれていたのでした。

英語版でメッセージ文が追加されたり変更されたりすると、未翻訳の数が増えます。今回はそう面倒なものでもなかったので、なんとかやり終えました。beta や RC の場合は未翻訳が多少残っていてもその状態でパッケージ作成、公開することもあります。何しろテスターに見てもらうことが目的ですからね。

ここで、元になる英語版ソースのリビジョンをチェックします。

ソースの状況は Trac で公開されているので、そのコミット記録を見て、「RC2」と印が付けられたのはいつか、を調べてこの数字をメモしておきます。

直接翻訳ファイルは、この例の RC2 の前後では変化がなかったので、作業はありませんでした。もし英語版に変更があれば、それに合わせて日本語版のファイルを書き換える作業をします。

で、いよいよパッケージの作成です。wordpress.org のどこか(秘密です)にログインします。そこで「作成」ボタンをクリックすると、英語版ソース(メモしておいたリビジョンを指定します)に、GlotPress から日本語リソースを自動的に取ってきて、さらに直接翻訳ファイルも別のところから自動的に取ってきて、これらを混ぜ合わせて日本語版パッケージを作成してくれます。

この時点のパッケージの URL は一般には公開されません。

日本語作成チームの皆さんには別の方法で通知しているので、何も tweet しなくてもいいのですが。

チームの皆さんがいくつかの点についてチェックし、問題なさそうだという返事を受けて、公開します。秘密のページで「公開」をクリックすると beta や RC の場合は、「ベータ & RC バージョン」の表に載ります。

最後は告知です。「WordPress|日本語」でお知らせします。beta や RC の場合は、英語版の告知に追記してお知らせすることが多いです。

さあ、どうでしたか。あなたも日本語作成チームに参加して、リリースリーダーを担当してみませんか。

LED 電球が壊れた

暮らしコメントを残す

いま住んでいるこの家の照明はほぼ全部、白熱電球を使うようにデザインされています。全部で50個ほどでしょうか。これだけの数だと、しょっちゅうどれかが切れます。また特に夏、熱(暑)くてたまりません。

LED 電球に置き換えたいと思っているのですが、まだまだ目の前の白熱電球の価格の安さには敵いません。それでも、頻繁に使うところ、電球取り替えの作業が面倒なところ、調光器を使っていないところ、で白熱電球の切れたところから徐々に LED 電球に置き換えつつあります。いまのところ10個ほどです。

さて、そのうちのひとつの LED 電球が1秒間に数回ほどの激しい点滅をするようになりました、回路が壊れてしまったのでしょう。取り付けてから半年ほどですが、台所の補助的な照明で週に1時間ほどしか点けませんから、実際の使用時間は数十時間しかないと思います。同じ期間、同じ型のものをすぐ隣りのソケットで使っています(こちらはもっと点灯させているので使用時間は100倍くらいありそうです)が、こちらは大丈夫。壊れたものとそうでないものを取り替えてテストしてみましたから、土台が壊れた訳でもなさそうです。

普通の電球なら消耗品で補償も何も考えないのですが、LED 電球は一応「寿命40000時間」を謳っており、それが実質数十時間しか保たなかったというのも腑に落ちません。箱の注意書きやメーカーのウェブページなどにも補償のことは何も書かれていないのですが、サポートセンターに電話してみました。

型番と症状、使用時間を簡単に聞かれただけで、あっさり交換して新品を送ってくれることになりました。使用状況を詳しく聞かれることもありませんでした。現物に、購入時期を証明するもの(レシートなど。今回の場合はネット通販で購入したものだったので、その購入履歴をプリントしたもの)を同封して、送料着払いで送ってくれということでした。数日後、新品が送られてきました。

有名メーカーのものよりかなり安く購入したものだったので、あまり期待はしていなかったのですが、ありがたい対応でした。

三菱化学メディア Verbatim LED電球 一般電球タイプ 口金E26 昼白色 9.2w 810ルーメン 明るさ3段階切り換え LDA9N-H/3SK

クレジットカードの暗証番号を忘れた

暮らし, コメントを残す

ネットでの買い物は別として日常的にはあまり積極的に使ってこなかったクレジットカードを、できるだけ使ってみようと思い立ちました。

これには「風が吹けば桶屋が」のような訳があります。

まず手元のパソコンの調子がおかしくなってきました。ハードディスクか CPU かマザーボードか。それらを新調して、ついでに OS もインストールし直すことにしました(Debian Wheezy)。

すると VMPlayer で Windows XP がエラーも表示せずに起動しなくなりました ((後に原因が判明しました。ハードディスクの物理パーティションをマウントする設定にしていたのです。ハードディスクも交換して当該パーティションが存在しなくなっており、そこでこけていました。VM の設定でこれをはずすと起動するようになりました。))。この Windows はほぼ会計ソフトのためだけに使っていたのでした。

会計ソフトさえ何とかなれば Windows からすっかり解放されます。そこで Debian で GnuCash を試してみることにしました。

GnuCashのテンプレートで、勘定科目クレジットカードが「負債」の中にありました。なるほどこうしておけば管理もたやすいね、これまでは混乱しそうでカード使用を避けていたところもあったな、と思い至り、これからは逆に積極的にカードを使ってみよう、と考えたわけです。

閑話休題。

いつの間にか世の中は IC カード対応が進んでいて(そりゃそうだ。更新で手元に送られてきたカードもそうなっています)、入力パッドでの暗証番号の入力を求められます。が、複数のカードを所有していることもあり、記憶を手繰って2回試しても合致しません。これ以上やるとややこしくなると思ってあきらめ、その場は署名に切り替えてもらいました(レジで後ろに並んでいた人、ごめんなさい)。

カードの裏に電話番号が記載されているサポートデスクに「暗証番号を忘れました」と連絡しました。住所やら生年月日やらで本人確認され、暗証番号は郵送するとのこと。数日後、普通郵便で暗証番号の書かれた通知が届きました。暗証番号はそのまま書かれており、カード番号は半分ほどが伏字になっています。書留や配達記録でもないのかと、ふと不安を感じましたが、考えてみるとこれはクレジットなのです。もしこれに起因する事故(つまり不正使用)があったとしてもカード会社(または販売店)がその責を負うだけです。その確率とコストを衡量して普通郵便で配送しているのでしょう。

さてこうして、なるべくカードを使おうと決心をしてみたものの、ふだんの買い物は安さ優先のドラッグストアなどで、そういう店ではカードは使えないのでした。やれやれ。

ja.po のコメント欄に見る WordPress 日本語版の歴史

WordPress, 2件のコメント

WordPress 生誕10周年だそうです。WWW が生誕20周年らしい(諸説ありますが)ので、その歴史の半分くらいのところで WordPress がもうあったんですね。

さて、東京の WordPress 10周年イベントで、Nao さんが WordPress 日本語版の歴史的なお話をされるとのことで、日本語チームの一人である私にもコメントを求められました。記憶とたぐってお返事したのですが、そのあとちょっと調べてみたら意外と面白かったので、ここに書いてみます。

WordPress 日本語版

私が WordPress を使い始めたのは 2006年の初めでした。それは日本語化されたもので WordPress ME と呼ばれていました。配布サイトがあってフォーラムがあって、日本語での WordPress 情報が集まっていました。

一方、その頃にはもうひとつの日本語版が存在していました。2005年頭には WordPress 1.5 の日本語リソースが出されています。

WordPress ME は 2008年に開発が終了してサイトは閉じられ、いまでは記録が残っていないのでここでは詳しく書けません。その後は、そのもう一方の日本語版が現在の WordPress 日本語版につながっていきます。

私が翻訳チームに加わるまで

日本語リソースは 1.5 以降、svn.automattic.com/wordpress-i18n/ja/tags/ にあります。

このリポジトリは最初、tai さんがたぶんひとりで、WordPress の開発元 automattic に交渉して開設されたのだと思います。まだ私が関わる前なので詳しいことは知りません。

さて、そのなかの ja.po のコメントにその歴史が見えます。ここで一番古い 1.5 の ja.po のコメントでは tai さんひとりのクレジットで、作成日は 2005年3月4日です。2005年末の、次のバージョン 2.0 の ja.po では tai さんのほかに 2人の協力者のお名前が見えます。

2006年7月の 2.0.3 の ja.po のコメントには

#  誤字脱字誤訳、あるいはよりよい訳などありましたら以下までぜひお知らせください。
#  また、翻訳、校正、コミットをお手伝いしていただける方も随時募集中です。
#  連絡先: ....(個人のメールアドレス)

という文言が見えます。「連絡先」は個人のメールアドレスだったのが、2.1.1 の ja.po から翻訳チームのメールアドレスになっています。徐々に態勢が整えられていったようです。

はじめ WordPress ME を使っていた私は、いくつか日本語訳のおかしな所に気づいたのですが、開発者の連絡先というか、どのように要望を伝えればいいのかが(フォーラムなど充実していたにも関わらず)とてもわかりにくかったと記憶しています。またこの頃にこのもう一方の日本語版の存在に気づいて試してみていましたが、こちらにもやはり日本語訳の気になるところがありました。そこで日本語リソースを見てみて、上記の案内を見つけました。どうやらこちらの日本語版のほうが「風通し」がよさそうなので、連絡してみることにしました。ところが、翻訳チームのメーリングリストのアーカイブも公開されていたのでそれを覗いてみたら、私の報告について「そんな細かいこと、どうでもいいじゃんね。ぷ」みたいな話になっていて、がっかりしたことを覚えています。

しばらくは自分で自分のところだけ対処していたのですが、上記の案内に「お手伝いしていただける方も随時募集中」とあるし、外から報告や提案してやきもきしているよりは気が楽かなくらいの気持ちで、今度はチームに参加したいと連絡してみました。2007年3月のことでした。2.1.3 の ja.po には私の名前 Mako が見えます ((私の名前の横にある URL は当時のものです。その後これを手放して、現存するこの URL で見えるものはまったく別の人です。))。

日本語作成チーム

ここからは手元にいくらか記録も残っていますので、少し詳しく書くことができるでしょう。

その頃は、ja.po のほかにも翻訳文を直接埋め込まなければならないファイルがいくつもあって、svn を使って各人がリポジトリにアクセスし、メーリングリストで「私がこのファイルの翻訳を担当します」と宣言して作業し、また「校正おねがいします」とあると別の人がチェックする、というような態勢でした。

私は、どうにも気になる質のようで、用字用語や点丸括弧ばかりチェックしていました。ひらがなで書くのか漢字なのか、括弧やコロンは全角なのか半角なのか、全角と半角のあいだにスペースは入れるのか……。調べているうちに「日本語スタイルガイド」のひな型を見つけたので自分のブログにそのことを書きました。このひな型を元に、翻訳チームの日本語スタイルを決めていくことになりました。このようにして、2.2, 2.3 の日本語リソースやパッケージが作られていきました。

2007年9月ころ、チーム編成に変化がありました。このころまで、アナウンスや広範な議論は(現在では存在しない)WordPress Japan のフォーラムで行われていました。その記録は残っていないので記憶に頼りますが、開設の経緯からこれまでリポジトリにコミットできたのは tai さん一人のみだったのを、このあとチーム体制にしていきたい、というような議論がたしかそのフォーラムでありました。そこで現在も活躍している有名な方々も加わり、ほぼ現在と同じチームができました。チームの連絡も現在の Google グループに移りました。こうして現在も続く、リリースごとに担当者を決めていく体制ができていきました。

2.3.1 の ja.po までは冒頭のコメントに翻訳チームとして個人の名前が列挙されていましたが、2.3.2 の ja.po からは「WordPress 日本語版作成チーム」と、すっきりした表記になりました。

WordPress.org のローカルサイト ja.WordPress.org が立ち上がったのもこのころだったかと思います。WordPress 2.3 リリースのアナウンスはこちらで行われています。その後フォーラムも立ち上がり、もうひとつの日本語版である WordPress ME に代わってこちらのほうが普及していくことになります。そして 2008年3月、WordPress ME は配布を停止してサイトは閉じられました

作業環境の変化

WordPress は世界的にも普及し、本家のほうでも国際化の環境の整備が進みました。翻訳に関わる議論は以前はメーリングリストでしたが、現在は WordPress Polyglots というサイトで行われています。私が日本語版リリースの担当だった 3.0 のころ、GlotPress という仕組みが導入されました。これまで svn リポジトリを中心とした翻訳作業が、ウェブ・インターフェースの作業になりました。これで、限られた人しか関われなかった作業が、誰でも、たった一行だけでも気軽に参加できるものになりました。2010年のことです。

gettext (ja.po など)でカバーできず、翻訳文を直接埋め込まなければならないファイルは減り続け、ほとんどの翻訳は GlotPress でできるようになりました。2013年5月現在、直接翻訳するのは wp-config-sample.php のコメント文と readme.html だけです。

ja.po のコメントを見てきましたが、2012年の 3.4 の ja.po からは、とうとう日本語作成チームの案内も消えました。GlotPress の出力をそのまま利用するようになったからです。

これから

今年また日本語版リリースを担当しています。もうすぐ出るであろう 3.6 です。

私が日本語版に関わるようになってから6年になります。英語が得意なわけでもないので、もっぱら日本語に力点を置いて、それに翻訳そのものより周辺のこと(スタイルのこととか作業手順のこととか)を微力ながらやってきました。これからチームに参加される方のためにも、もう少しきちんと形にして残したいと思っているところです。

Weaver II テーマ で Youtube を埋め込む

WordPress, , コメントを残す

少し前の記事

Jetpack by WordPress.com プラグインで Youtube の画を埋め込んでいるのだけれど、説明どおりにやっても小さくできない。縦は縮むのに横幅はそのまま。別の環境で見るとまたちがうのだろうか。

と書いたけれど、原因がわかった。

youtube を埋め込むには、

  1. Weaver II テーマは独自にショートコード weaver-youtube を持っているので、これを使う。横幅は percent というパラメータで指定する。
  2. 上記を使わず、Jetpack by WordPress.com プラグインのショートコード youtube を使う。ただし Weaver II テーマで設定されているスタイルと干渉する。

のどちらかによる。はじめ (a)に気づいていなかったので (b)の方法にしていた。気づいたいま、どうするか。記事を書く際にテーマやプラグインに依存した記述をすると、そのテーマまたはプラグインを外したときに変なことになる可能性がある。将来 Weaver II テーマを使わなくなる可能性と Jetpack by WordPress.com プラグインを使わなくなる可能性を比べると、後者のほうが断然低そうなので、やはり (b)の記述のままにすることにした。

さてそうすると、どちらの方法でも youtube を埋め込む iframe には class="youtube-player" が指定されているのだが、 Weaver II テーマではそれに対するスタイルが

.youtube-player {
    width: 100%;
}

と設定されていたのであった。(a)の方法では、その上で画像の横幅を制御しているのであろう。そのまま (b)の方法を使うと、前に書いたように、w=320 のような横幅指定を付けてもそれが適用されない。

ここでは、記事の記述は(b)の方法にしたので、このスタイル指定をやめるため、Weaver II テーマの設定画面の advanced Options → <HEAD> Section の Custom CSS Rules に

.youtube-player {
    width: auto;
}

と書くことにした。これでうまくいくようになった。