AmazonLink の Powerd by 表示からのリンク先は現在記事カテゴリーになっていますが、これの変更先として固定ページを作りました。
- AmazonLink(雑念ベース)
ダウンロード案内ページは WordPress Plugins/JSeries、実際のダウンロードは SourceForge.jp、新しい情報の通知はこのサイトとばらばらになってしまっているので、ポータル的な案内ページの形に持って行きたいと思っています。
- Google Crisis Response(Google)
- 災害に関する情報源や、行方不明者情報の収集と検索を行う『パーソンファインダー』を初めとするツールの提供が行われています。
2010年3月22日 月曜日
2009年12月13日 日曜日
WordPress の自動アップグレードをしようとすると「このブログのプラグインを更新するための十分な権限がありません。」となってしまうので調査をしていたのですが、原因が判明しましたので記事にします。
まず、調査対象のバージョンは2.8.4です。2.6系から直接アップグレードしたもので、一番初めは2.0ME系でした。接頭辞は wp です。
権限がないといわれてしまう原因ですが、そのまま権限が与えられていないためです。管理者で作業しているので普通はそんなことはありえないのですが、どうやらアップグレード時に行われるデータベースの更新に問題があったようです。
権限情報の記録場所
権限の情報はオプションとしてデータベース上に記録されていて、次のSQLで見つけることができます。
- SELECT `option_name`,`option_value` FROM `wp_options` WHERE `option_name` = 'wp_user_roles';
このオプションの値はPHPでシリアライズしたもので、管理者や編集者といったロール(役割)ごとに権限を配列の形で格納しています。wp-includes/capabilities.php の冒頭には、次のように書かれています。
- * The role option is simple, the structure is organized by role name that store
- * the name in value of the 'name' key. The capabilities are stored as an array
- * in the value of the 'capability' key.
- *
- * <code>
- * array (
- * 'rolename' => array (
- * 'name' => 'rolename',
- * 'capabilities' => array()
- * )
- * )
- * </code>
権限の記録は20行目の配列で、権限名がキーでその権限があるかどうかを示す真偽値が値となります。
現状の確認
さて、ここまでを踏まえて実際にどのように権限情報が記録されているかを確認します。PHPで表示させるプログラムを書いてみてもいいのですが、面倒なのでもっと手っ取り早い方法を使いました。
前述したSQLでオプション値を取得し、それをテキストエディタ(私は秀丸エディタを使いました)に貼り付けます。このままではすべてが1行に繋がってわかりにくいので、{ と } と ; の後ろにテキスト置換で改行を入れました。
こうすると、権限名と真偽値が交互になってわかりやすくなります。
準備ができたら権限名を探します。自動アップグレードのアドレスから、きっかけとなるコードは wp-admin/update-core.php であることがわかりますので確認します。
冒頭の12行目に次のようにあります。
- if ( ! current_user_can('update_plugins') )
- wp_die(__('You do not have sufficient permissions to update plugins for this blog.'));
update_plugins という名前の権限を確認して、権限がなければメッセージを表示して終了するという処理ですね。早速この権限名を先ほど準備したテキストデータで探しますと、見当たりません。この名前をキーとする配列要素がないということになりますので、PHPでは真偽値は false となります。
念のため新規に同じバージョンのインストールをしてみた場合で確認したところ、しっかりとこの権限については true となっていました。
なぜこうなったのか
こうなると原因が気になります。アップグレードスクリプトの権限処理をするところを探してみました。アップグレードインストールをするときのファイル名を基点にしてたどってみたところ、wp-admin/includes/upgrade.php に定義されている upgrade_all() という関数の中で、WordPressデータベースのバージョンによってアップグレード用の関数を呼び出していることがわかりました。
- /**
- * Functions to be called in install and upgrade scripts.
- *
- * {@internal Missing Long Description}}
- *
- * @since unknown
- */
- function upgrade_all() {
- global $wp_current_db_version, $wp_db_version, $wp_rewrite;
- $wp_current_db_version = __get_option('db_version');
- // We are up-to-date. Nothing to do.
- if ( $wp_db_version == $wp_current_db_version )
- return;
- // If the version is not set in the DB, try to guess the version.
- if ( empty($wp_current_db_version) ) {
- $wp_current_db_version = 0;
- // If the template option exists, we have 1.5.
- $template = __get_option('template');
- if ( !empty($template) )
- $wp_current_db_version = 2541;
- }
- if ( $wp_current_db_version < 6039 )
- upgrade_230_options_table();
- populate_options();
- if ( $wp_current_db_version < 2541 ) {
- upgrade_100();
- upgrade_101();
- upgrade_110();
- upgrade_130();
- }
- if ( $wp_current_db_version < 3308 )
- upgrade_160();
- if ( $wp_current_db_version < 4772 )
- upgrade_210();
- if ( $wp_current_db_version < 4351 )
- upgrade_old_slugs();
- if ( $wp_current_db_version < 5539 )
- upgrade_230();
- if ( $wp_current_db_version < 6124 )
- upgrade_230_old_tables();
- if ( $wp_current_db_version < 7499 )
- upgrade_250();
- if ( $wp_current_db_version < 7796 )
- upgrade_251();
- if ( $wp_current_db_version < 7935 )
- upgrade_252();
- if ( $wp_current_db_version < 8201 )
- upgrade_260();
- if ( $wp_current_db_version < 8989 )
- upgrade_270();
- if ( $wp_current_db_version < 10360 )
- upgrade_280();
- maybe_disable_automattic_widgets();
- update_option( 'db_version', $wp_db_version );
- update_option( 'db_upgraded', true );
- }
呼び出されている upgrade_***() という関数の中では、さらに必要に応じて populate_roles_***() という関数を呼び出しています。
この関数の定義は wp-admin/includes/schema.php にあり、そこではまさにロールごとに権限の追加を行っていました。
次のSQLでデータベースバージョンを確認して呼び出されるはずの関数の処理を確認してみました。
- SELECT `option_name`,`option_value` FROM `wp_options` WHERE `option_name` = 'db_version';
2.6の新規インストール環境では8201となっていましたので、upgrade_all() の342~346行目が該当します。呼び出される関数の定義は次のとおり。
- /**
- * Execute changes made in WordPress 2.7.
- *
- * @since 2.7.0
- */
- function upgrade_270() {
- global $wpdb, $wp_current_db_version;
- if ( $wp_current_db_version < 8980 )
- populate_roles_270();
- // Update post_date for unpublished posts with empty timestamp
- if ( $wp_current_db_version < 8921 )
- $wpdb->query( "UPDATE $wpdb->posts SET post_date = post_modified WHERE post_date = '0000-00-00 00:00:00'" );
- }
- /**
- * Execute changes made in WordPress 2.8.
- *
- * @since 2.8.0
- */
- function upgrade_280() {
- global $wp_current_db_version;
- if ( $wp_current_db_version < 10360 )
- populate_roles_280();
- }
- /**
- * Create and modify WordPress roles for WordPress 2.7.
- *
- * @since 2.7.0
- */
- function populate_roles_270() {
- $role =& get_role( 'administrator' );
- if ( !empty( $role ) ) {
- $role->add_cap( 'install_plugins' );
- $role->add_cap( 'update_themes' );
- }
- }
- /**
- * Create and modify WordPress roles for WordPress 2.8.
- *
- * @since 2.8.0
- */
- function populate_roles_280() {
- $role =& get_role( 'administrator' );
- if ( !empty( $role ) ) {
- $role->add_cap( 'install_themes' );
- }
- }
populate_roles_***() で追加している権限を確認したところ、3つとも登録されていました。今度はさかのぼって確認してみると、populate_roles_260() で追加される2つの権限のみがありませんでした。しかもその1つは今回問題となっている update_plugins です。
どうやらここで失敗していたようです。
- /**
- * Create and modify WordPress roles for WordPress 2.6.
- *
- * @since 2.6.0
- */
- function populate_roles_260() {
- $role =& get_role( 'administrator' );
- if ( !empty( $role ) ) {
- $role->add_cap( 'update_plugins' );
- $role->add_cap( 'delete_plugins' );
- }
- }
修復方法
原因まで判明したので、権限情報の修復を行います。直接書き換えてもいいのですが、間違えると面倒なので簡単なプログラムを作りました。
データを抽出して権限を追加し、再度シリアライズして表示するだけ。表示されたテキストデータをデータベース用の管理画面(ここのサーバーは phpMyAdmin が使えるのでそれを使いました)から直接反映させました。
このプログラムは自由に使っていただいてかまいませんが、何かあったときの補償はできませんので自己責任でお願いします。
- <?php
- header('Content-type: text/plain;charset=UTF-8');
- $link = mysql_connect('データベースサーバー', 'ユーザー', 'パスワード');
- if ( $link )
- {
- mysql_set_charset('utf8');
- if ( mysql_select_db('データベース') )
- {
- $sql = "SELECT `option_name`,`option_value` FROM `wp_options` WHERE `option_name` = 'wp_user_roles'";
- if ( $res = mysql_query($sql) )
- {
- if ( $rows = mysql_fetch_assoc($res) )
- {
- $rol_data = unserialize($rows['option_value']);
- $rol_data['administrator']['capabilities']['update_plugins'] = true;
- $rol_data['administrator']['capabilities']['delete_plugins'] = true;
- print serialize($rol_data);
- }
- }
- else
- {
- print mysql_error();
- }
- }
- else
- {
- print mysql_error();
- }
- }
- else
- {
- print mysql_error();
- }
- ?>
というわけで、無事自動アップグレードの画面を拝むことができました。
2009年9月7日 月曜日
すでに昨夜の話になってしまいますが、AmazonLink 2.0.0 beta2 をリリースしました。ダウンロードは、いつものようにWordPress Plugins/JSeriesのサイトからどうぞ。
ページ投稿画面での検索フォーム追加や、AmazonLink コードの変更などをしています。また、アップグレードが進むとの予測から、急いで WordPress 2.8.4 での動作検証も行いました。2.8系は投稿画面の幅が狭くなっているため、ボタンなどのレイアウトも少し変えてあります。
AmazonLinkコードの変更ですが、商品ごとにテンプレートを変える機能を思いついたためです。テンプレートは複数行になる可能性が高いため、属性値とするには不向きです。そのため、コードに挟むことができるようにしました。
なお、内部で変換処理を行っているので、今までの形式も使用することはできます。
例
ASIN は Amazon Standard Item Number の略で、Amazon の商品コードです。
以前の形式
- [amazon]ASIN[/amazon]
新しい形式
- [amazon asin="ASIN"][/amazon]
- [amazon asin="ASIN" /]
現在は個別のテンプレートには対応できていませんが、TODOには入れておこうと思います。手を出しすぎると切りがないので、正式リリースまでは触らない予定です。
2009年9月6日 日曜日
現在、WordPress 2.8.4 未満に存在するセキュリティーホールをターゲットとした不正アクセスが行われているようです。該当バージョンを使用している方はできるだけ早めにアップグレードを行ってください。当サイトも、先ほど作業を行いました。
不正アクセスが行われているかどうかの判別については、コリスさんがまとめてくださっています。
また、この記事に書かれている「WordPress Permalink & Rss problems」を、山本さくらさんが和訳した物を公開されています。
- WordPress のパーマリンクと RSS に関する問題について(ゆっくり…して…イってネ!)
WordPress | 日本語 には、本家ブログの記事「How to Keep WordPress Secure」を訳したものが掲載されました。
- WordPress を安全に使い続ける方法(WordPress | 日本語)
これらの記事を参考に、不正アクセスが行われていないかどうかの確認と最新版へのアップグレードを行ってください。アップグレード済みであっても、念のため不正アクセスの有無の確認は行ってほうがいいと思います。
コリスさんの記事にもありますが、不正アクセスの形跡があった場合はデータベースも不正アクセスされている可能性があるとのこと。その場合はこのセキュリティホールが発見されるよりも十分古いバックアップに戻す以外は対策はなさそうです。
そうならないためにも、できるだけ早くアップグレードを行ってください。
2009年9月6日 15時40分 追記
それでもアップグレードを渋っている方には、Naoさんによる次の記事をどうぞ。
- WordPress をアップグレードしよう!(detlog.org)
2009年8月7日 23時10分 追記
山本さくらさんが、攻撃内容について詳しく書かれています。
- 現在進行中の WordPress に対する攻撃の詳細と再現(ゆっくり…して…イってネ!)
古いバージョンを使用しているところはすべてアウトと言うわけではないようですね。
とは言うものの、まだ見つかっていないセキュリティーホールによって条件がゆるくなる可能性は十分あります。残念ながら「バグのないプログラムはない」のです。
2009年9月5日 土曜日
8月14日に公開となった AmazonLink 2.0.0 beta では、テンプレート機能によってある程度自由にデザインを作ることができるようになっています。
管理画面上の説明でどこまで伝わるのか自信がないので、現在このサイトで使用しているテンプレートを公開しようと思います。
- <table class="amazonLink" width="468">
- <tr>
- <td colspan="2">
- <strong><span class="itemName"><a href="[DETAIL_PAGE_URL]">[ITEM_NAME]</a></span>[IF_AUTHOR/] <span class="author">[AUTHOR]</span>[/IF_AUTHOR]</strong><br />
- [IF_PUBLISHER/]発売:[PUBLISHER][IF_RELEASE_DATE/] [RELEASE_DATE][/IF_RELEASE_DATE] [/IF_PUBLISHER]
- 販売数ランク:[SALES_RANK]位
- </td>
- </tr>
- <tr>
- <td rowspan="3" width="[MEDIUM_IMAGE_WIDTH]" valign="top">
- <a href="[DETAIL_PAGE_URL]"><img src="[MEDIUM_IMAGE_URL]" width="[MEDIUM_IMAGE_WIDTH]" height="[MEDIUM_IMAGE_HEIGHT]" alt="『[ITEM_NAME]』の商品写真" /></a>
- </td>
- <td valign="top">
- [IF_CREATOR/]
- <ul class="creator">
- [CREATOR/] <li>[CREATOR_ROLE]:[CREATOR_NAME]</li>
- [/CREATOR]
- </ul>
- [/IF_CREATOR]
- </td>
- </tr>
- <td valign="top">
- [IF_REVIEW/]
- 平均評価:<img src="/wp-content/themes/custom01/images/evaluation_[AVERAGE_RATING].gif" width="59" height="11" alt="[AVERAGE_RATING]">
- <ul class="evaluation">
- [REVIEW/] <li><img src="/wp-content/themes/custom01/images/evaluation_[REVIEW_RATING].0.gif" width="59" height="11" alt="評価:[REVIEW_RATING]"> [REVIEW_SUMMARY]</li>
- [/REVIEW]
- </ul>
- [/IF_REVIEW]
- </td>
- </tr>
- <tr>
- <td valign="bottom">
- <span class="powerdBy">[POWERD_BY]</span>
- </td>
- </tr>
- </table>
テーブルの幅が固定であったりしますが、別のサイトにも流用可能かと思います。WordPress や プラグイン同様に GPL ライセンスとしますので、ご自由にお使いください。
2009年8月14日 金曜日
JSeries サイトの更新はまだですが、先ほど AmazonLink 2.0.0 beta をリリースしました。
現在 SourceForge.JP の以下のアドレスからダウンロードができるようになっています。
http://sourceforge.jp/projects/wppluginsj/downloads/43119/AmazonLink-2.0.0beta.zip/
19時25分追記
Jseries サイトを更新しました。メジャーバージョンアップと言うことで、新規にページを作成してあります。
http://wppluginsj.sourceforge.jp/amazonlink2/
2009年8月9日 日曜日
平日は忙しくてまったく時間はないわ、休日は平日できてないことをやってると終わってしまうわでほぼ停止状態でしたが、昨日と今日で AmazonLink を Amazon の Product Advertising API に対応させました。
ついでに WordPress 2.7 にも対応させたので、近いうちにベータ版として公開することができそうです。2.8 は未テストなので、対象外の予定です。
また、サイドバーでやってたアンケートの結果を元に、今回から動作環境条件として PHP 5.1 以上とします。これにより、Amazon とのやり取りの処理が PHP のネイティブ関数を使えるようになるので処理が早くできるはずです。PHP 4.x の環境しかない方はごめんなさい。
ベータ版として公開したあとの予定ですが、プログラムの整理と PHP 5.x らしい書き方への変更をしたいと思っています。一緒に WordPress 2.8 にも対応したいですね。
今後も使っていただけるという方は、Product Advertising API アカウントの取得をしておいてください。8月15日以降は、アカウントがないと投稿画面での検索ができなくなります。
2009年6月14日 日曜日
アイコンをクリックするだけで感想を投稿できる ClickComments というサービスを利用していましたら、いつの間にか終了してしまっていました。
専用の WordPress プラグインで記事の下に表示していたのですが、いつの間にか表示されない状態に。一時的な問題かと思って様子を見ていましたが、いつまでも直らないので調べてみたら表示のためにサービスサイトから読み込む JavaScript ファイルが Not found。
サービスサイトを見に行ってみると、長期のサービスをサービスを続ける余裕がないために無期限に終了するというメッセージが表示されていました。
Unfortunately, postreach ClickComments has been shut down indefinitely because we can no longer afford to keep it running.
クリックして下さる方もいらしたので残念ですが、プラグインを停止しました。
同じようなサービスをご存知でしたら、ぜひコメントをください。
2009年5月10日 日曜日
Amazon.co.jp からいろいろな情報を取得することができる”Amazon アソシエイト Web サービス”というサービスがありますが、”Product Advertising API”という名称に変わるとのことです。そして、情報のリクエストには署名による認証が必要になるとのこと。
拙作 WordPress プラグインの AmazonLink でもこのサービスを使用しているので他人事ではありません。
- Amazon アソシエイト Web サービスの名称変更および署名認証についてのお知らせ(Amazon アソシエイトプログラム オフィシャルブログ)
基本方式はほとんど変わらないとのことですが、認証で使用する電子署名の作成には、開発者登録をしたときに作成した Secret Access Key というものが必要になるようです。リクエスト時のデータによって変わるため、電子署名データだけをプログラムに埋め込んでおくことができません。また、Secret Access と言うくらいなのでこれを公開するのも駄目でしょう。
詳しい情報がまだ得られていないのでなんとも言えませんが、ただ使うだけの人にも開発者登録をしてもらわないと駄目になるかもしれません。
今のところは、たつをさんによる記事が一番詳しそう。
- アマゾンAPIを使うのに2009年8月15日から認証が必要になるらしい(たつをの ChangeLog)
電子署名データの作成には RFC 2104-compliant HMAC with the SHA256 hash algorithm という変換処理のようなものが必要で、これを行うための関数である hash は PHP5 でないと標準では使用できません。PHP4 はすでに終了宣言が出ているのですが、まだ PHP5 が使用できないサーバーもあるので悩みどころです。
2009年1月18日 日曜日
不正アクセスを受けていたようです。現時点で判明している被害と行った対策は次のものです。
不正投稿
内容
先日、投稿した記憶のない記事がRSSに含まれていることに気がつきました。実際に過去の日付で投稿されており、不正アクセスをされたと結論付けました。
記事の内容は、違法またはセキュリティ的に危険な内容のサイトへの誘導と思われます。幸いタグが間違っているためにリンクにはなっておりませんでしたが、すぐに記事は削除いたしました。
対策
どのような形で投稿が行われたのかは不明ですが、WordPress を2.6系の最新バージョンへアップグレードいたしました。また、XML-RPC などの外部から投稿を可能にする機能は無効にしてあります。
テンプレートファイルの書き換え
内容
テンプレートファイルの footer.php に大量の隠しリンク(スタイルシートで非表示にしてありました)を記入されていました。本来4KBほどのサイズなのですが、記入されたファイルは1MB弱になっていました。
書き込まれた内容は、やはり外部サイトへのリンクでした。隠しリンクになっていましたので、検索エンジンロボットを対象としたものでしょう。
リンクの中には WordPress を使用したサイトと思われるものも多数ありましたので、WordPress を使用しているサイトが狙われている可能性があります。ユーザーの方は、書き換えが行われていないか確認することをお勧めします。
対策
追記された部分については、すでに削除してあり、そのほかのテンプレートに関しても確認を行いました。
また、管理画面から編集可能にするためファイル属性を666(誰でも書きこめる状態)にしてあったため、危険であると判断して644(ファイルの所有者のみが書きこめる状態)に変更しました。
