PC研究会?」カテゴリーアーカイブ

バージョンを アップしたった PHP ~少しは表示速度上がったんかい~

              

Xサーバーからメールが

先日、WordPress本体の脆弱性を突かれたのは記憶に新しい。
通常、サイトのコンテンツを書き換えるには、サイトのダッシュボードにログインし、
ごそごそと中身を書き換えなければならない。

ところが、先日の記憶に新しい脆弱性を突かれた攻撃は、ダッシュボードにログインすることなく、
サイトのコンテンツを書き換えることが可能、というとんでもないモノだった。

企業サイトなどは、バージョンアップがあった場合、
まずXAMPやMAMPで既存のコンテンツなどに影響が出ないか確認しなければならないから、
個人でやっているサイトと違い、自動更新をオンにしていないサイトが多かっただろう。

企業サイトを案件として抱えていたところは、大変だったに違いない。

私は自動更新をオンにしているので、勝手にバージョンアップされるから、
幸い、サイト改ざんの被害には合わずにすんだ。

ほっと一息ついていたら、Xサーバーからこんな趣旨のメールが。

「PHPのバージョン、最新の7.0が推奨になったから、バージョンアップしてね」と。

むむ・・・。
一難去ってまた一難?

セキュリティのためにやっておくべきこと、それは・・・。

サイト運営者にとって、セキュリティのためにすべきこと、それはバージョンアップ。

WordPress本体のみならず、プラグインも、そしてPHPも。

古いバージョンは脆弱性を突かれる危険があるし。

かといって、ホイホイと元気よく上げるのも怖い、といえば怖い。

ローカルにインストールしたMAMPで新しいバージョン検証してからでないと、
どんな不具合が出るかわかったもんじゃないから。

以前、WordPress本体が3.xx時代に、本体バージョンアップを自動更新にしてしていたら、
Googleアドセンス表示されなくなったことがあったので、一時期手動更新にしていた。

しかし!

WordPressはオープンソース。

世界中の手練れが集結して開発しているけれど、オープンソースということは、
同時に、バッカー(はっか~なんて呼んでやらない)にも、
コードの中身がさらされている、ということでもある。

となると、手動更新にしていると、検証しているわずかばかりの時間に、
バッカー(はっか~なんて呼んでやらんよ、絶対)の攻撃をみすみす招きかねない。

というわけで、しぶしぶ自動更新をオンにし、バージョンアップで表示がおかしくなったら、
後追いで自力で何とかするようにした。

プラグインは自動更新できないから、バージョンアップがあったら、
せっせと手動更新していた。

ところで、PHPは、というと・・・。

今までのバージョンも使えるけれど

Xサーバーからのメールによると、新しくWordPressをインストールする場合、
推奨の最新版、7.0がデフォルトになったそうな。

これまでのPHP5.6も使えるけれど、できれば早くバージョンアップしてね(意訳)とある。

表示速度も上がるらしい(ホンマかいな)ので、自力検証が甘いまま、
Xサーバーのサーバーパネルで、PHPをバージョンアップ。

何事も起きませんように・・・。

内心、びくびく、ドキドキしながら、ラジオボタンをぽちっと押す。

サイト、真っ白けっけとか・・・。

前、やらかしたよなあ、パスワード入れ間違えて、セキュリティプラグインに締め出され、
おまけにサイト真っ白けっけ。

あれの再現は勘弁してけろ。

・・・。

幸い、そんな恐ろしいことは起きることなく、とりあえずぱっと見には、表示が崩れた様子もなく、
拍子抜けするくらい実にあっさりと、PHPのバージョンアップは終わったのだった。

ホンマに、表示速度上がってるんかいな・・・。
いまいち、実感がわかないんやけれど。

 セキュリティ第一。

手間暇かけて作成したサイトがハッキングされ、改ざんされたりしないよう、
WordPress本体とプラグインは最新バージョンにアップデート。

それらを動かすためのPHPも、最新バージョンにアップデートしておきませう。

サイト運営・管理するなら、まずはセキュリティ。

都民ファーストならぬ、セキュリティファースト。

で・・・ホンマに表示速度、上がったんかいな?
よくわからんわ。

2段階 認証なしは マジ危険 ~身近で起きたクレジットカード不正利用の恐怖~

              

それは、ある日突然に・・・

ある日、Twitterのタイムラインを眺めていたら、知人が恐ろしいことを呟いていた。
クレジットカードを不正利用された、と。
その不正請求については、カード会社が水際で止めたけれど、
不正請求があったのはオンライン系ゲームの利用代金か何かだったらしい。

どこから漏れたんやろ?怖い話やな・・・と、知人に問いかけると、
さらに恐ろしい話が返ってきた。

抜かれたカード情報、カード番号、名義だけではなく、
クレジットカードの裏面にある3Dセキュアコードまで。

ご存知の方も多いと思うけれど、3Dセキュアコードというのは、
クレジットカードの裏面に印字されている3桁の数字。
クレジットカードでのオンライン決済をより安全にするために導入された本人認証サービス。

なんでそんなもんまで抜かれたんやろ?という私の疑問への、被害にあった知人の答えは、
その時点では「セキュリティソフトの更新忘れ」。

ところが!

クレジットカード情報が漏れた理由、知人の推定とは違っていた。

それだけではなく、被害はそのクレジットカードだけではすまなかったのであった。

判明したクレジットカードの情報漏洩源は?!

さて、そんなやり取りの翌日。

クレジットカードを不正利用された知人から、この件での追加連絡が。

「情報抜かれた原因、判明しました」

「他のカードも不正利用されていました」

「情報漏洩源は・・・私のEvernoteでした」

な、なんですと~~~~!!!!

Evernoteがハッキングされ、そこに記録していたクレジットカードの情報、
ごっそり抜かれてしまったとのこと。
しかも被害はそれだけではなく、同様に記録していた、
インターネットバンクの情報も抜かれ、被害にあっていた。

Evernoteのアクセス記録から、どこの国からやられたかも突き止めた知人。

被害拡大を防ぐため、Evernoteに記録していたクレジットカードの利用をすべて止め、
インターネットバンクのパスワード変更、2段階認証の設定、
Evernoteのパスワード変更、2段階認証の設定と、結構な時間を取られながら、
できうる限りのセキュリティ対策をした。

被害額は15万ほど。
その程度で済んでよかった・・・。

被害程度は低かったけれど、私自身にもハッキング被害を受けた経験が。

私自身のハッキング被害経験

以前、Facebookをハッキングされたことがある。
アカウント作ってほったらかしにしていたわけではないけれど、
ブルートフォースアタックを仕掛けられ、パスワードを特定されてしまい、
ハッキングされてしまった。

インターフェースを英語に変更され、名前もプロフィール写真も勝手に変えられてしまった。
幸い、被害はその程度で済んだけれど。

この時は、普段、日本国内からしかログインアクセスしないアカウントが、
アメリカ国内からログインしたのを不審に思ったFacebook社が、アカウントをロック。
そのため、私自身までも締め出されてしまった。
アカウント復旧のために「早く対処しなさい」とFacebook社から連絡を受け、
2段階認証を設定し、以来、ハッキング被害にはあっていない。

このハッキング被害で、利用しているインターネットサービスは、
2段階認証設定できるものは設定しておいたから。

2段階認証とは?

2段階認証は何か、ということをものすごく大雑把に説明すると、
ログインの際、ログインIDとパスワードだけではなく、確認コード入力が必要になるので、
IDとパスワードだけでログインするよりもセキュリティレベルは高くなる。

確認コードは、2段階認証を設定したサービス提供会社から、
登録したスマホやメールアドレスに送信されてくる。

また、2段階認証をオンにしておくと、日ごろそのサービスにログインする端末も登録できる。
万一、IDとパスワードが漏洩したとしても、登録外のデバイスからアクセスしようとした場合には、
2段階認証を設定したサービス者の提供する確認コードの入力を要求されるので、
ハッキングに手間がかかるようになる。
確認コードは、一定時間で変わるから、特定するのには手間がかかるはず。

つまり、2段階認証設定のメリットは、ハッキング被害を受ける可能性を軽減できること。

これさえやっておけば、不正アクセスを完全に防御できるものではないけれど、
セキュリティ対策はやってやりすぎることはない。

メリットはハッキング被害の軽減、ではデメリットは・・・?

じゃあ、2段階認証にデメリットはないのか、と気になるところ。

デメリット、というか・・・。

設定がめんどくさい、といえばめんどくさい。

万一、スマホを無くしたりした場合など、確認コードを受信できない状態に置かれたら、
サービス提供者から2段階認証設定したときに送られてくる、
16桁の数字などのバックアップコードを入力しなければならない。
バックアップコードは、サービス提供者によって英数字の組み合わせだったり、いろいろ。

バックアップコードは設定したときにしか見ることができないから、必ず
その時に印刷するなり、Wordとかメモ帳にコピペしてローカルかUSBに保存しておくかしておくこと。

バックアップコードを紛失すると、アカウントの復旧ができなくなってしまうから。
これ、非常に重要。

デメリット・・・になるのかどうかは利用者の考え方次第だけれど、
設定のめんどくささとバックアップコードの保管に気を遣うことがデメリットといえばそう言えるかも。

めんどくさくても、2段階認証は設定すべし!

知人がクレジットカードを停止し、インターネットバンクのIDとパスワードを変更し、
Evernoteに2段階認証設定し・・・と、ひとたびハッキング被害が発生すると、
その被害を最小限に抑えるための労力や、再発防止への手間暇、そして金銭的被害。

失うものが大きくなる。

だから、めんどくさい、と決して思わず、
Google、Apple、Micrsoft、Evernotes、Dropboxなどなど。

2段階認証設定できるものは、必ず設定しよう!

2段階 認証なしは マジ危険!ですぞ!

iPad miniが壊れて マジ困る。

              

iPad miniが突然、壊れてしまった。
ホームボタンが陥没してしまい、うんともすんとも反応しない。
それ以外は、異状は内容やけれど。
アクセシビリティで、とりあえず、ホームボタン同様の機能を呼び出し、
なんとかアプリを終了させたりはできるけれど、マジ困る!!!
iPad mini、生活必需品なんよ〜〜〜。
なんとかして、直さねば。

というわけで、ネットでググる。

私のiPad miniは、きのこの会社で契約したもの。
その時に、アップルケアに入ったけれど、
きのこの会社に修理で持ち込んでも、預かりとなり、
毒林檎電脳に運ばれて修理となるらしく、戻ってくるまでに何日かかるかわからない。
それに、もうアップルケア期限切れてるよなぁ、という気もする。

それに、データの保証もない。
下手したら、まっさらな状態で戻ってくるかもしれない。

きのこの会社に「この機会に、mini4に機種変しませんか」なんて言われるかもしれん。

何日かかるかわからない、まっさらな状態にされるかもしれない、
そんな修理、出したくない。

生活必需品、手元にないとマジで困るやんか。

いっそのこと、mac miniをカスタマイズしたように、自分で修理したろうか、
そんな考えさえ湧いてくる。

気がつけば、その考えに支配され、ネットでiPad miniを分解したヒトの記事、
ググって読んでいた。
でも、mac miniより面倒くさそう。

持ち込んだその場で、ささっと修理してくれる、そんな業者、いないか?

考えを改め、ググり直す。

いくつか、業者がヒットする。

ホームボタンの陥没で修理代金を見る。

修理代金、ピンキリ。

高い業者は、2万円〜3万円もかかっている。

それだけ出すなら、機種変した方がいいかもしれない、とぐらつく。

そんな時、1件の業者が目に止まる。

電話で予約したお客様優先で修理を受け付けていて、
ホームボタンの陥没などなら、持ち込んだその場で修理してくれる業者。

思い立ったが吉日、の当日すぐ持ち込みたい修理なので、
メールせず、電話で直接予約を入れる。

予約時間に間に合うように赴く。

「ホームボタンが陥没してしまって」と渡し、修理を依頼。

修理が終わるまで、30分もかからず。

私の手元に、ホームボタンが直った、iPad miniが戻ってきた。

やれやれ、ほっ・・・。

他の機能に異状がないかも確認してくれ、あと1年以上は大丈夫でしょう、との話。

本当に壊れてどうしようもなくなるまで、まだまだ頑張っておくれ、iPad mini。

私が修理で持ち込んだ業者はこちら。

Apple Juice

腕は確かな業者さん。
ただし、アップルケアの残っているものを修理に持ち込むと、
以降、アップルケアの対象外機種になってしまうので、
修理持ち込みは自己責任で。

Googleの 2段階認証 やっておけ。

              

所用から帰宅して、調子の悪いAndroid携帯を見たら、
なんかヘンテコなメッセージが出ている。
なんやろう?今までに出た不調と違う。
そう訝しみつつ、画面を覗き込む。
そこに出ていたメッセージ。
シゲシゲと眺め、嫌な汗が噴き出した。

それは、Googleのパスワード変更しようとしてる?と、
Google先生が確認しようと自動で送ってきたメッセージだった。
しかも、3件も!

プライベートのアカウント、オシゴト用のアカウント、
このへっぽこアホアホサイトの問い合わせ用アカウント、合計3つ。
それらのパスワードを変更しようとしているか?というメッセージだったのだ。

海外で大量にgmailのアカウントのパスワード流出があった時、
以前不覚にも顔本のアカウントを乗っ取られたことがあったので、
めんどくさいな、と思いつつも、Google2段階認証をやっておいた。
ちなみに、顔本を乗っ取られた時は、普段日本国内からしかログインしないのに、
米国でログインしたのを不審なアクティビティと認識した顔本が、
ログインを強制的にシャットダウンしたので、大きな被害には会わずに済んだ。

それで懲りているので、Googleのアカウントに、2段階認証を設定。

大雑把にいうと、誰かが悪意を持って私のgmailのアカウントを乗っ取ろうとして、
パスワードの変更をしようとしても、できないようにしてある。
私の手元にあるガジェットを使わないと、本人認証ができないので、
Google先生に弾かれてしまう。

その不審なアクティビティの通知が、Android携帯に来ていたのだ。

ぞぞぞ〜〜〜っ。

やっといてよかった、2段階認証
詳しい設定方法は、こちら

ネット上のセキュリティ対策、やってやりすぎることはない。

WordPressのセキュリティ対策も、顔本やTwitter、そのほかのSNSも。

心のどこかに、「大丈夫なんじゃないかな」と思う隙は、誰にでもある。

特に、女性は「ほかのヒトはともかく、私は大丈夫」と思いがち。
でも、その考えに、どんな根拠があってそう思える?

再度繰り返すけれど、ネット上のセキュリティ、やってやりすぎることはない。

アカウントを乗っ取られないように、対策を施す。

アヤシゲなアプリ、やたらと連携認証しない。

水と安全、タダじゃない。

自分の身は、自分で守らないとアカン。

私に起きた出来事、あなたに起きない保証はどこにもない。

というわけで・・・、

Googleの2段階認証やっておけ。

今すぐに!

SSL 無料提供 開始され

              

Xサーバーから、「無制限・無料で利用可能な標準SSL」の案内が来た。
Google先生の検索結果の表示がSSL化されたサイト有利になったし、
多分、Xサーバーもそれに対応したんやろうな。
私が勢いでSSL化した、初年度無料のSSLとどう違うんやろ?
機能的に差がないのなら、新しく導入された方に乗り換えるか?
とりあえず、違いを調べてみよう、

今回、無制限・無料で提供されることになったのは、Let’s EncryptというSSL。
Xサーバーで運営されているドメインに、無制限・無料で利用可能。
即日有効になり、90日ごとに自動更新される
サイトシールには対応しておらず、「www」ありなしにも対応。
でも、よく読むと、「www」なしでは申し込みできないみたい。
ということは、申し込む時は「www」ありにしないとあかんのかな。
対応ブラウザ、有名どころが列挙されているけれど、バージョンは?
詳細は提供元のサイトを確認してください、とあるけれど、
ちゃんと見に行くヒト、どのくらいいるんやろ?

私が初年度無料で契約したCoreSSLは、2年目から年間税抜き1000円。
セキュアコアが提供しているSSLの安いもので、今回、
Xサーバーが新しく提供開始した無制限・無料SSL同様、
サイトシールは発行されない。
サイトシールというのは、大雑把に言うと、
「このサイトはSSL化されてるよ」という安心マークみたいなもん。
SSL化されたサイトが検索で優先されるようになったけれど、
Google先生、まだSSLの質・・・までは、結果に加味してないんよね。
だから、リーズナブルなSSLでも、超高級SSLでも、
現状では、まだSSLのグレードで、検索結果に差が出ないわけ。
将来、Google先生がそれも加味するようになるかもしれないけれど、
そうなったらその時に間に合うように、グレードあげればいいや。

じゃあ、現在私が利用している、セキュアコアのCoreSSLと、
今回、Xサーバーが提供開始した、Let’s Encryptの一番の差は何か?

現状、Xサーバーのサイトで確認出来るそれは、対応している、
ブラウザやOSのバージョンの範囲、じゃないかと。

細かく専門的に見ていけば、きっといろいろあるんやろうけれど。

シゲシゲと読んだけれど、Let’s Encrypt、対応しているブラウザのバージョン、
OSのバージョン、はっきり数値で書かれていない。
Windows10(Edge)、Mac OS Xと書かれているけれど。

一方、CoreSSLの方には、ブラウザのバージョンも、
AndroidやIOSのバージョンもいくつ以降、とはっきり書いてある。

あくまでも、私個人の感想やけれど、無制限・無料のLet’s Encryptより、
セキュアコアのCoreSSLの方が、対応ブラウザやOSの範囲が広そうで、
安心してられるかなぁ。と云う感じ。

今年いっぱいでCoreSSLの無料契約期間終了するけれど、契約更新やね。

有料プランを使ってね。
そんな作戦かもしれないけれど。