vbsnbkの日記: 続・WPサイト改ざん 2
日記 by
vbsnbk
前回の件、最終的にACさんよりコメント頂いた「SiteGuard WP」プラグインの導入で取りあえずの対策を取ったんですが、wp-cron.phpにアクセス出来ないってメッセージが出たので、解決のためにレンタルサーバのコンパネから情報収集。
そこから参照出来るhttpdの再起動ログを見てて「suEXEC」の文字があるのに気付く。
あー……suEXEC+fastCGIなPHPで実装してるのか!!すっかりその可能性を失念してたわ。
レンタルサーバのコンパネ上でさっくりPHPのバージョン切り替えられるのも、FastCGIのラッパー書き換えてるからか。
ユーザーレベルでphp.ini設定出来たりもそういう仕組みね。やっとすっきりしましたわ。
#個人的にはそういう場合はSELinuxやAppArmorみたいなMAC(Mandatory access control)系の仕組みを有効に出来るようにして欲しいんだが、色々難しいんだろうなあ。
しかしここのサイトの管理委託されたのが8年前ぐらいで、その時にはそういう仕様だって話はなかったはずなんですが……。
8年の間に大規模なメンテナンスが2度ほど実施されていたはずなので、そのどちらかで仕様が変わったのか?
サイト管理を依頼されても自分で契約したわけではないので、サーバ業者から契約者に来る情報が全てこっちに来ているとは限らないのが悩ましいなあ。
php.iniを設定出来るって事は関数レベルでdisable_functionも出来るから、気休め程度に幾つかexec系を利用不可にしておくかなあ……。
いっそのこと (スコア:2)
ただ、WordPressに更新スピードについていけなくなって開発停滞しちゃってますが・・・
WP2Static [wp2static.com]ぐらいですかね OSSで無料で使えるのは
# これも有料化される予定,アップロードまでやろうとすると有料化だっけかなは
費用が出せるならShifter [getshifter.io]を使うてもあります
Re:いっそのこと (スコア:2)
なるほど、懐かしのMovableTypeTみたいな静的HTML出力ですか。
ググったらWP2Staticの吐き出す先はS3とかにも出来るんですね。
元のWordPressサイトは丸ごとBASIC認証なんかで保護しちゃって、本番はS3Z+CloudFrontなんかで公開しちゃうのもなかなかアレげですねえ。
今回のサイトでやるかどうかはともかく、ちょっとした個人や団体で、頻繁に記事をアップするからCMSは欲しい、けど管理の手間はなるべく避けたいような場合とか、とにかく落とせないサイトを運用する場合には考慮する価値がありそうです。