WEB

WordPressにWord2010から投稿する

この投稿は、2013/01/31 12:52:27 に WordPressローカル単体 に再発行されました

WordPressにWord2010から投稿する

以前からブログ記事を投稿する際に、Windows Live Write(以下WLW)を使ってJoomla!の記事を書いていました。WLWは、PCにインストールして、Wordと同じような感覚で文書の作成ができる無料ソフトです。

実は同じことをMicrosoft Word2010で出来ることに気づきました。


CMSは一般的にTinyMCEとかJCEいうWYSWYGエディタを使っていますが、管理画面の中での慣れない編集を不便に感じるお客さんも多いかと思います。使い慣れたWordで投稿するという方法も提案の一つになるのではないかと考えてます。単純なブログサイトであれば、管理画面を見せたくないといったケースでも使えます。

続きを読む...

Joomla!で注目記事を一度に(注目)解除する方法

管理画面の記事一覧で、「注目」の指定がされている記事があるかと思います。

記事の一覧画面のツールバーに、公開、非公開を切り替えるボタンはありますが、「非注目」ボタンが無いですよね。

記事を複数選択して、「注目」とやると、単純に全件注目記事として更新されます。

 

一括で「注目」を外すには、以下の方法があります。

1)「特集記事」タブに移動します。

2)注目を解除したい記事にチェックを入れます。

3)右上のツールバーで「削除」(青字に白バッテン)をクリックします。

image

 

これで、記事自体は削除されず、「注目」の状態のみが解除されます。

 

もし間違えて「ゴミ箱」をクリックしてしまった場合は、

1)「状態の選択」プルダウンで「ゴミ箱」を選択します。

2)必要な記事にチェックをつけます。

3)「公開」をクリックします。

※「アーカイブ」にするかは必要に応じて選択してください。ちなみにアーカイブ記事とは、「アーカイブ記事一覧」で表示したり、アーカイブ記事独自のモジュールテンプレートを適用したりするために使えます。

以上です

偽装サイトにされないためのセキュリティー

先ほどの記事で少し書いたことですが、最近また増加している銀行の偽装サイト事件にも関連したセキュリティーの話です。
銀行を偽装したサイトによるパスワード盗用や不正取引の被害があります。

【重要】不正にポップアップ画面を表示させてインターネットバンキングの情報を盗み取ろうとする犯罪にご注意ください

みたいな注意書きがどの銀行のホームページにも見られます。

不正なスクリプトをPC内で実行させて、銀行のホームページを開いた時に、偽のダイアログを表示させて、パスワードなんかを抜き取る被害です。

今まで仕事で相談を受けたり、見聞きしたセキュリティー関連の事故を書いてみようと思います。





事例1(DNSサーバ、WEBサーバの改ざん

以前依頼のあったサーバ障害対応で、こんなのがありました。

某企業から「お宅のサーバが当社の偽装サイトにされている」と連絡が入ったらしく、相談を受けました。

事務所に設置したサーバが侵入され、WEBサーバとDNSサーバが改竄されていました。

DNSには偽の銀行のIPが定義され、WEBサーバには「/var/www/htdocs/ほにゃらら.co.jp」というディレクトリが作成されていました。

あとはまあ、何らかの形でこのサーバのDNSを参照するようにすれば、偽企業ホームページに誘導されてしまうわけです。

構築した担当者は連絡が取れません。基本インストールの知識はあっても、運用やセキュリティーに関する知識は無かったようです。

※お客さん側で保守や運用のコスト意識が低いことが間接原因になっているケースもありますが。 。。



事例2(MySQLデータベースの改ざん

ホームページの記事が書き換えられたケースです。

MySQLデータベースに保存された記事データが書き換えられました。

<原因>

rootのパスワード無し、ローカル以外のアクセスも可能という、xamppなんかでサーバ構築した際のデフォルト設定のままでした。

管理用のアカウントを作らず、rootユーザでそのまま外部アクセスして運用していたようです。



事例3(金融系企業のWindowsサーバの全フォルダにウィルスが仕込まれる

これは私が関わっていた、某カード会社のプロジェクト(200人/月 x 2年ほど)のサーバです。

数10万個のフォルダの全てにウィルスのファイルが書き込まれました

当時は個人の持ち込みPCのLAN接続も許可されていて、侵入経路は不明です。

セキュリティーポリシーを下げてPCを使う管理職なんかが、大半の企業セキュリティー事件の加害者かと思います。。。

<原因>

1)本番環境と開発環境、職場のLANが同一ネットワークにある

業界トップクラスの企業なのに、凄いことですが、指摘しても改善されませんでした。

2)Windowsサーバの管理共有(暗黙共有)を止めて無かった。

侵入されたウィルスが全サーバの全フォルダにばらまかれた理由が問題です。 


事務用PCからサーバ全体に広まったのは、ドライブの暗黙共有がされていたからです。

これは、WindowsOSをインストールした標準の状態です

「自分は共有フォルダなんか作ってない」と思いますよね?

試しに、エクスプローラーのアドレスバーに「¥¥(自分のマシン名)¥c$」と入力してみてください(¥は実際は半角)。

Cドライブ直下のフォルダが全部見えるはずです。

個人PCなんかで普通に使う分には問題ありません

ただ、もしこのPCに外部アクセスできる人がいたら、Cドライブ全部を見られる可能性があります(フォルダ個々の権限設定によります)。

※比較的最近のWinodwsではセキュリティー設定が変わったので、この限りではありません。

※ネットワーク経由でクライアントPCを管理/操作するのを前提とした暗黙共有の仕様ですが、通常では第三者からアクセスされなければ問題ありません。


無責任な
管理職のPCがウィルス侵入されたせいで、暗黙共有を止めていない全サーバにウィルスが拡散されたわけです。



事例4(hostsファイルの改ざん

偽装サイト詐欺で多く見られるケースで、平たく言うとPCが騙されて偽のサイトのURLを信じ込まされるというものです。

具体例は書きませんが、上記事例3のように、Cドライブの共有によって侵入され、hostsファイルが書き換えられてしまうのが良くあるケースです。


Windowsであれば、

c:\windows\system32\drivers\etc\hosts
というファイルがあるんですが、ここにはIPアドレスとホスト名の対応が書かれています。

インターネットにアクセスする時、サイトのIPアドレスはDNSサーバによって判断されるわけですが、実はDNSサーバを参照する前に、

このhostsファイルが参照されます

で、hostsファイルに偽のホスト名とIPアドレスが書かれてしまうと、ユーザは偽装サイトに誘導されてしまうわけです。

例)

hostsファイルに書き込まれた記述が以下の場合

123.456.789.xxx ichiryubank.co.jp

ブラウザでhttp://ichiryubank.co.jpにアクセスすると、本来のサイトではなく、詐欺集団のサーバ(123.456.789.xxx)にアクセスすることになります。

銀行のサイトのマネなんてできないとお思いかもしれませんが、ブラウザで目に見えるものは丸々取得できますし、入力画面のプログラムなんかは適当なもので置き換えてしまえます。

これら侵入されたPCやサーバは直接の被害を受けないかもしれませんが、知らぬ間に多大な被害を生む加害者にもなってしまっているわけです。

体系的な、あるいは法制化されたセキュリティー管理基準、規則、管理者資格などが無いために、依然として大企業や政府機関のセキュリティーホールは小さくなりません。

加害者側の技術は向上し、活動範囲は広がる一方なので、むしろセキュリティーの穴は大きく、しかも数も増えていると言えるかもしれないですね。



事例5(アニメ演出家逮捕のあの事件ークロスサイトリクエストフォージェリ(CSRF))

事件報道直後から、あれはCSRFだろうと言われていたのに誤認逮捕されてしまいました。
10年近く前の時点でも、WEBセキュリティー対策の基本としてCSRFは一般的なもので、何でだろうと思います。
WEBサイト上のプログラム(送信フォームなど)は、一見人が入力して実行しないといけないようなものでも、自動化したプログラムにより代行することが可能です。
複数のブログサイトに一括で投稿できるプログラムなんかがあると思いますが、あれもプログラムが代行して投稿してるわけです。
一見何でもないサイト上にこういったプログラムが仕掛けられていたとして、例えばメールに書かれたリンクをクリックしたり、そのサイトにアクセスしたタイミングで実行されるようにしておけば、そのユーザが実行したように見せかけられます。
簡易的なcgiの無料掲示板プログラムなどには、CSRF対策がされていないものも多いです。
ところが、行政機関の問い合わせフォームなどでもこういったものを利用しているのを見かけます。
これは明らかにユーザではなくサイト管理者側の問題です。




以上、セキュリティーチェックか何かの参考になればと思います。

JoomlaでWindows Live Writerを使ってる時に500エラーが出る場合

最近ブログ記事を投稿する時は、ローカルPCにインストールしたWindows Live Writerで書いてます。

Windows Live Writer(以下WLW)を使うと、メジャーなブログやCMSの記事をローカルPC上で編集できます。
Joomla!は標準では対応していないんですが、Joomler!.netさんが提供しているXMLRPC for Joomlaプラグインをインストールすると、Moovable Typeサイトとして管理できるようになります。

※具体的な方法などはJoomler!.netさんの記事を参考にしてください。Googleなんかで「xmlrpc joomla」で検索すると日本語の説明ブログ記事も出てくると思います。
http://www.joomler.net/documents/141-xmlrpc-for-joomla.html


で、使っている際に500エラーで記事の取得、投稿ができない場合があります。

サイトの構成によって原因は様々かと思いますが、もし解決しないようであれば、以下の2点を確認してみてください。

1)ほかのxmlrpcプラグインが動作していないか
  うちの場合、JoomlaPack Remoting XMLRPC services for JoomlaPack 2.xというのが入っているので一旦無効にしてます。 

2)キャッシュのクリア
  サイトのキャッシュが有効になっている場合、「サイト」-「メンテナンス」-「キャッシュのクリア」でクリアしてあげると、その後エラーは出なくなります。
  ※ただし、サイト全体のキャッシュをクリアすると初回表示は遅くなってしまいます。 

ということでご参考まで 

Facebookのいいね!ボタンのコメント欄が隠れてしまう場合(Joomla! Yoothemeのテンプレートの例)

Facebookの「いいね!」ボタンを埋め込んでいたんですが、少々前にコメント欄がDIVの枠に隠れてしまっていることに気づきました。

とりあえず記事コンテンツ下部に余白を作って対応してたんですが、これでは無い方がいいという状態。。。

Facebookコメント欄が隠れた状態

テンプレートのCSSに変更を入れて対応して、正しく表示されるようにしました。

Facebookのコメント欄が正しく見えてる状態



ただし、このボタンを埋め込んでいる記事本文側への影響があるので、ちょっと時間があるときにでも(あるのか?)修正するか、もしくはこの際なのでテンプレートをがらっと変えつつ対応しようかと思います。



一応他のサイトでも同じ理屈なので、何をしたかは書いておこうと思います。

続きを読む...

画像のオリジナルを探す方法~これどこだっけという場合Google画像検索に聞いてみる~

唐突ですが、この画像どこでしたっけ?

 この画像どこでしたっけ

と、思うことが良くあります。

昔ダウンロードした綺麗な壁紙とか、ふと目に留まった可愛い子の写真とか、この画像についての情報が知りたいということありますよね。

知識系サイトでわざわざ質問するのもはばかれるし、お父さん達の画像コレクションでは聞けない場合も。。。


で、最近更に賢くなったGoogle画像検索に聞いてみる。

続きを読む...

サブカテゴリ

サイト内検索

長押しで
スクロール