サイバー攻撃に早まって・・

今週頭から夏風邪をひいて、ついに3日間寝込んでいました。発熱が続き一向に良くなる気配がないので、仕方なく今朝は病院に行き、1時間半の点滴。脱水症状と酸素不足だとか。
「夏風邪のウィルスに抗生物質は効かないんだけどね」と言いつつ医者は、二次感染を防ぐためだからと、抗生物質を出してくれましたが、これはちょっと不要な薬だなって思います。

それはともかく、私がウィルスに襲われて弱っている間に、私のブログは大変なことになっていました。 私が利用している「ロリポップ!レンタルサーバー」がサイバー攻撃され、WordPressの利用者に対し不正アクセス、データ改ざんが行われたとのこと。
私のブログも見事に文字化けし、管理画面もぐちゃぐちゃ。管理画面に不正侵入した証にブログタイトルが、「Hacked by Krad Xin」と書き直されています。
まったく弱り目に祟り目というか・・・。

私はサイトに複数個WordPressを設置していますが、今のところ、被害にあったのはそのうちの1個だけ。アドレスにwordpressの文字が入ったものだけでした。
被害が少ないうちにデーターベースのパスワードを変更しておこうとロリポップのデータベースを開こうとしたら、覚えのないパスワードに変えられていました。これもハッカーの仕業か?と焦りましたが、実はロリポップの方で、パスワードとwp-config.phpファイルの設定、及びパーミッションなどを書き換えているようです。

さて、この荒らされたブログをどう修復するか?
どこをどう改ざんされたか分からないブログを修復するよりは、この際、最初から作り直してついでにアドレスからwordpressの文字もなくしてしまおうと、私はブログをまるごと削除してしまいました。
データベースのバックアップがあるから大丈夫、と深く考えもせず、やってしまいました。
しかし、バックアップデータをデータベースにインポートしようと何度試みてももうまくいかない。
何が悪いのか、半端知識では理解できない。
残っているのは、画像無しのテキストデータだけ。

何故ブログを削除する前に、文字化けを修復することを考えなかったのか、悔やまれます。
文字化けは案外簡単に復旧できるようです。ロリポップサイトに、
2013/08/31 改ざんされたサイトの復旧方法について」というお知らせがあることに、あとから気づいて「しまった!早まった」と思いましたが、もう後の祭りです。
データ改ざんが文字化けとウィジェットのテキスト変更程度なら、あとはログイン名やパスワードを変更するだけで良かったかも。もちろん被害がそれだけでおさまっていればですが。
もしかしたら私がハッカーを買いかぶり過ぎていたのかも。もっとスゴイことされるんだって、ビビり過ぎだったかも知れません。

しかし、削除してしまったデータは戻らないので、当分はテキストデータを一つ一つ見直して、画像がPCに残っているものや新たに画像を取得できる投稿について順次アップして行こうと思います。これを機にブログをすっきり整理していければいいかなと。

今回の犯人は自分のFacebookで自分の仕事ぶりを随分自慢しているらしいです。ハッキングしたサイトのURLをリスト化しているというので見てみました。日本のサイトがターゲットにされたのは間違いないようです。 しかし、まあ、犯人のFacebookに対し、「いいね!」を押している人が多いのには呆れますね。

9月2日追記:
夜、ロリポップから「▽サイト改ざんへの対策をお願いいたします – ロリポップ!」http://lolipop.jp/security/というメールがありました。
データの改ざんパターンが多数報告されているそうで、「データ改ざんが文字化けとウィジェットのテキスト変更程度」というわけではなかったようです。やはりハッカーを甘く見てはいけないってことでしょうか。
指定ファイルを開いてみると、「webサイトが改ざんされてしまったら」、以下の作業が必要とのこと。

最後に 次の注書きがありました。

※お使いのパソコンにバックアップファイルがある場合は、一度サーバー上のファイルを削除した後にバックアップファイルをアップロード。その後、ディレクトリのパーミッションを「705」に変更することでも対応は可能です。

もっと早く教えて欲しかった!!!

映画「ハーブ&ドロシー ふたりからの贈りもの」

heab&dorothy8月17日の「ああるの映画と読書」で、紹介されていた映画を見てきました。
映画の内容については、「ああるの映画と読書」に詳しいので割愛しますが、アメリカのいくつかの美術館を旅してまわり、たくさんの現代アートを目にすることができる、ちょっぴり幸せな気分にさせてくれる映画です。

自分の気に入った作品を手に入れ、好きなものに囲まれて暮らしたい、という想いは、アート好きなら誰でも少なからず、胸の内に抱いている欲望の一つでしょう。
しかし、半世紀かけたとは言え、それが5,000点近い数になってしまうとは!
その量に圧倒されます。

スクリーンに映る数々の作品の中には、これもアートなの?現代アートって何でもOKなの?って疑問がかすめる場面もありました。しかし、どの作品もすべて、ボーゲル夫妻の共感を得た作品であり、共感者を得た作品は、それだけで存在価値があるのかもしれません。
一部のメジャーな作家を除いて、ほとんどの作品は私の知らない作家たちの、見たことのない作品でしたが、スクリーンの中を次々と流れるその作品からは、「既存の概念にとらわれない新しい美をみつけたい」「今までにない作品を生み出したい」という強い想いや、あるいは「ねえ、これってきれいでしょう?」という単純でささやかな想いなどがあふれてくるようで、そのどれもが共感者を求めているようで、自分でも可笑しいのですが、少し涙ぐんでしまいました。

ボーゲル夫妻が全米50州の美術館に50作品ずつ寄贈した、計2,500点の作品は、まとめてネットで見ることができます。下記のサイトを覗いてみてください。(※一部まだアップされていない作品もあります)

「Vogel 50×50」http://vogel5050.org/

さて、今回映画鑑賞したマルヤガーデンズ7F にある「ガーデンズシネマ」。次回作も興味深いので、紹介しておきます。
「世界が食べられなくなる日」http://www.uplink.co.jp/sekatabe/
8/23(金)~25(日)、8/31(土)~9/6(金)

sekaiga

「MOVIE+BOOK」をリニューアルしました

ああるさんに書いていただいている「MOVIE+BOOK」を、このたび、ブログソフトをcgiからWordpressに移行しました。
それに伴い、アドレスも変わりました。
新しいアドレスは、http://art-container.net/movook/です。

new-blog1ああるさんは、プロフィールによると「アジア映画(もちろん日本を含む)にかたよりがち、万人にはお勧めできないややマニアック系に傾きがちな、映画と本についての感想文です。」とのスタンスで、2006年2月から250点あまりの投稿を続けて下さいました。

old-blog1できることなら、全ての過去ログをwordpressに移行したいのですが、cgiのデータを一括してwordpressにインポートする方法が分からず、2013年6月までの投稿記事は、そのまま以前の「MOVIE+BOOK」に残すこととなりました。どうぞ、こちらの過去ログもご覧ください。

(データの変換方法が見つかれば、いずれは一つのブログにまとめたいと思っています。)

ギャラリーをWordPressでリニューアルしました。

WordPressはテーマやプラグインが豊富に提供されていることや、カスタマイズの自由度が高いところが魅力ですが、それだけでなくセキュリテイの強化、アクセス向上にも効果的なソフトウェアです。
個人サイトであってもWordpressを利用すると、明らかにアクセス数が増えます。
もっと多くの人に作品を紹介したい。知ってもらいたい。そのためにも、ギャラリーをWordpressに移行したいと考えていましたが、Wordpressを使い始めて3年、ようやく実現しました。

リニューアルに伴い、アドレスも変わりましたので、お気に入りに入れてくださっている方は、ブックマークの変更をお願いいたします。

山田利喜子さん「皮革染色工芸」の新しいアドレスはhttp://art-container.net/galleries/kawa/です。使用したテーマは、「Wpshower(http://wpshower.com/)」のフリーテーマ「Imbalance 2」

kawaTOMOKO・T・TORIBATTAさん「銅版画」の新しいアドレスはhttp://art-container.net/galleries/hanga/です。使用したフリーテーマは「WordPress.ORG/themes」に紹介されていた「Polaroids」

hanga通畠義信さん「鉄のオブジェ」の新しいアドレスはhttp://art-container.net/galleries/tetu/。使用したフリーテーマは、「Wpshower(http://wpshower.com/)」の「Paragrams」

tetu作品のショップアドレスはhttp://art-container.net/galleries/です。使用したフリーテーマは「Shaken and Stirred Web」の「Shaken Grid (Lite) Free!」(←リンク切れています)
shop

以上、ギャラリー向けのシンプルなテーマばかりです。
テンプレートやcssを書き換え、プラグインも追加して使用していますが、自力で一から作り上げるのは、私には無理。こんな高品質なテーマが無料で提供されているなんて嬉しい限りです。

今回はWordpressをもう一個インストールし、一個のWordpressで複数のブログサイトを構築できる「マルチサイト」機能を使って、4つのサイトを作成しました。
Wordpressのマルチサイト機能については、後日改めて(忘れないうちに!)メモします。

wordpressで掲示板を作る

ご注意ください!
WordPress 4.4からテンプレートの仕様が変わり、下記の方法ではメールアドレスを入力必須項目から外すことができなくなりました。
「WordPress 4.4で掲示板を作る」を書きましたので、そちらも合わせてご参照ください。

当サイトのゲストブックは、これまでCGIによるフリーの掲示板ソフトを使っていましたが、スパムが大量にやってくるようになったため、新たにwordpressを使用して作成し直すことにしました。

私が作成したい掲示板(=ゲストブック)の完成目標は、以下の5項目。

①wordpressのコメント機能を利用してゲストブックを作る

「レンサバネット」の「WordPressに掲示板を簡単に設置する方法」を参考にさせていただきました。

1.固定ページに掲示板用のページを新規作成します。

本文は空白でも構いません。当サイトではページタイトルを「guestbook」としました。
それだけでも、掲示板ページが出来上がるのですが、私はメールアドレスを入力必須項目から外したいので、

2.ディスカッションの設定で、「名前とメールアドレスの入力を必須にする 」のチェックを外します。keijiban-0

②メールアドレスは入力必須項目から外し、webアドレスの入力フォームは削除する。

「Dragon-Ark」【wordpress】コメントの必須項目を変更する(メールを必須としない)を参考にさせていただきました。

wp-comments-post.phpの以下のコード(wordpres.ver3.5.2の場合75行目辺り)をコメントアウトして、Eメールの入力チェックを無効にします。そして新たに名前を必須項目にするコードを追加します。

/**コメントアウトここから
if ( get_option('require_name_email') && !$user->exists() ) {
	if ( 6 > strlen($comment_author_email) || '' == $comment_author )
		wp_die( __('<strong>ERROR</strong>: please fill the required fields (name, email).') );
	elseif ( !is_email($comment_author_email))
		wp_die( __('<strong>ERROR</strong>: please enter a valid email address.') );
}
コメントアウトここまで*/
//追加部分ここから
if(!$user->ID){
if ('' == $comment_author)
wp_die('名前を入力して下さい。');
}
//追加部分ここまで

名前とEメールの入力欄を残して、ウェブサイトの入力欄を削除するには、wp-includesフォルダの中にあるcomment-template.phpを編集します。以下のコード部分を探して(wordpres.ver3.5.2の場合1524行目辺り)websiteのフォーム部分を削除したコードに置き換えます。

以下のコード部分を削除する

	$fields =  array(
	'author' => '<p class="comment-form-author">' . '<label for="author">' . __( 'Name' ) . ( $req ? ' <span class="required">*</span>' : '' ) . '</label> ' .
	            '<input id="author" name="author" type="text" value="' . esc_attr( $commenter['comment_author'] ) . '" size="30"' . $aria_req . ' /></p>',
	'email'  => '<p class="comment-form-email"><label for="email">' . __( 'Email' ) . ( $req ? ' <span class="required">*</span>' : '' ) . '</label> ' .
	            '<input id="email" name="email" type="text" value="' . esc_attr(  $commenter['comment_author_email'] ) . '" size="30"' . $aria_req . ' /></p>',
	'url'    => '<p class="comment-form-url"><label for="url">' . __( 'Website' ) . '</label>' .
	            '<input id="url" name="url" type="text" value="' . esc_attr( $commenter['comment_author_url'] ) . '" size="30" /></p>',
);

以下のコードに置き換える
[※記述ミスがあったため、4行目を修正しました。20013年8月15日]

$fields = array(
        'author' => '<p class="comment-form-author">' . '<label for="author">' . __( 'Name' ) . ( $req ? ' <span class="required">*</span>' : '' ) . '</label> ' .
                  '<input id="author" name="author" type="text" value="' . esc_attr( $commenter['comment_author'] ) . '" size="30"' . $aria_req . ' /></p>',
     'email'    => '<p class="comment-form-email"><label for="email">' . __( 'Email' ) . '</label>' .
                '<input id="email" name="email" type="text" value="' . esc_attr( $commenter['comment_author_email'] ) . '" size="30" /></p>'
);

③ゲストブックのページだけ、デザインを変更する。

1.使用中のテーマ(私の場合「twentyeleven」)に新規テンプレートを追加します。
2.新規テンプレートを作成するには、テーマのpage.phpを開き、任意の名前を付けて保存します。例えばpage-guestbook.phpとか。
3.新規に追加したテンプレートは、テンプレートネームを変更します。
テンプレートファイルの冒頭に記述されているTemplate Nameを任意の名前に変更。
たとえば以下のように書き直します。

<?php
/*
Template Name: guestbook
*/

4.最初に作成した固定ページguestbookを開いて、テンプレートの項目からguestbookを選択すると、テンプレートがデフォルトから、guestbookのテンプレートに変更されます。

keijiban-15.guestbookのテンプレートを編集する。
ゲストブックのページには、ヘッダーイメージやメニュー項目を表示させたくなかったので、テーマのheader.phpをコピーして新たにゲストブック用のheader-2.php(名前は任意)を作成しました。
6.header-2.phpからヘッダーイメージやメニュー項目に当たる部分のコードを削除します。
(※2014年12月現在、ヘッダーイメージは表示するように、レイアウトを変更しました。)
7.guestbookのテンプレートにheader-2.phpを読み込ませるには、get_header(); ?>の()部分に、読み込ませたいheaderの名前を記述します。

<?php
/*
Template Name: guestbook
*/

get_header(2); ?>

④ファイルをアップロードできるようにする。

コメント欄に画像などのファイルをアップできるようにする「プラグインcomment-imageを導入しました。
1.プラグインの新規追加画面でcomment-imageを検索
2.いますぐインストールをクリック
3.プラグインの有効化をクリック
有効化するだけで、画像 (GIF, PNG, JPG, JPEG)をアップすることができます。
特に設定画面もないので、どうしても変更したいところがあれば、comment-imageのPHPファイルやcssファイルを直接書き直すことになります。

⑤画像認証を設置する。

ほとんどのスパムは、wordpressの最強スパムブロックプラグイン「Akismet 」がキャッチしてくれるので、ブログに表示されることはありませんが、画像認証なしだと、やはりスパムがゾクゾクやってきます。認証無しってことは、ドアを開けっ放しにしているのと同じなんですね。
そこで、SI CAPTCHA Anti-Spam(コメント画像認証導入プラグイン)を導入することにしました。

「WordPress超初心者講座」の「SI CAPTCHA Anti-Spam(コメント画像認証導入プラグイン)」を参考にさせていただきました。

1.プラグインの新規追加画面でSI CAPTCHA Anti-Spamを検索
2.いますぐインストールをクリック
3.プラグインの有効化をクリック
4.管理画面のプラグイン項目からSI CAPTCHA オプションを開いて、必要なら設定をする。
オプションの設定は、デフォルトのままでも特に問題ありません。

 [追記]2015年2月22日 SI CAPTCHA Anti-Spamは不要になりました。

先月SiteGuard WP Pluginを導入したのですが、SI CAPTCHA Anti-Spamを有効化したままにしていたので、画像認証の入力画面が2個にダブっていることに、今頃気が付きました。
SiteGuard WP Pluginは

「管理ページとログインに関する攻撃からの防御に特化したセキュリティプラグインです。ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。画像認証の文字は、ひらがなと英数字が選択できます。」

という優れものです。

[追記]2014.4月19日
上記の方法で掲示板を作るにあたって注意すべきこと

WordPressをアップグレードするたびに、「wp-comments-post.php」とwp-includesフォルダ内の「comment-template.php」の二つのコアファイルを、変更箇所を探して書き換えなければなりません。
WordPress3.7からはアップデート(マイナーアップデートのみ)が自動で更新されるようになったため、コアファイルが勝手に上書きされてしまいますから、要注意です。
やはり、コアファイルをカスタマイズするのはあとあと面倒ですね。

【追記2】2014年11月21日
コメント入力フォームの位置について

コメントの入力フォームを掲示板ページの上位に設置したい場合、使用しているテーマのテンプレートファイルcomments.phpを開いて、<?php comment_form(); ?>タグの記述位置を変更します。

デフォルトではテンプレートの最後行あたりに書かれていると思いますが、それを上方にある<?php if ( have_comments() ) : ?>タグの、すぐ上に移動させます。