SEO対策とセキュリティで企業をバックアップします。

インターネット上のアクセスボリュームUPをお約束します。

WORDPRESSでPHPエラー表示を抑制

WORDPRESSでPHPエラー表示を抑制


WORDPRESSのエラー表示はあまり十分な情報を与えてくれないものである。こんな時はテーマファイルで該当するページにあてがわれているものに次のコードを挿入し詳しいデバッグをしましょう。

対象テーマファイルに以下のいずれかのコードを入れると抑制できます。

// エラーを画面に表示(0にすると画面上にはエラーは出ない、1にすると表示する) error_reporting(0); ini_set(‘display_errors’, 0);

タグ: ,

WORDPRESSの自動アップデート


WORDPRESSは、バージョン3.7移行はマイナーアップデートに関しては自動的にシステムアップデートをするようになりました。しかし、メジャーアップデートに関しては承認作業が必要でした。

これを完全に自動でアップデートしたいという人は下記のコードを挿入することで自動的にメジャーバージョンもアップデートします。


wp-config.phpに下記を挿入してください。WORDPRESSのメジャーアップデートも自動化されます。

define( 'WP_AUTO_UPDATE_CORE', true );

※注意として自動アップデートしてまずい場合があります。カスタマイズでWPのDBをかなりいじっている場合は自動化はやめた方がよいです。

次に、テーマやプラグインですが現状は管理画面上には更新が来ているマークが表示されますが自動化されません。これらも、もし自動化したいというのであれば次のコードをfunctions.phpに挿入することで実現が可能です。

functions.phpに下記を設置してください。テーマとプラグインが自動アップデートになります。

add_filter( 'auto_update_theme', '__return_true' ); //テーマアップデートの自動化
add_filter( 'auto_update_plugin', '__return_true' ); //プラグインアップデートの自動化

※注意としてテーマのアップデートやプラグインのアップデートはユーザ自身でカスタマイズを行うと、自動アップデートで消失します。そのようにならないためにもテーマやプラグインはフォルダー名をデフォルトから変更しオリジナルのものになるようテーマ設定箇所を書きかえましょう。

タグ: , , ,

PHPでセキュリティ上非推奨の関数


PHPでセキュリティ上非推奨の関数配下のものですが、できるだけ使わないほうが安全です。使ったから直ちにまずいというものではありませんが、仕組みを理解して使うなら問題ないものもあります。ある一定のセキュリティ保護をかけた上で使う、もしくは限定用途の範囲で使うのであれば全く駄目というわけではありませんが注意することに越したことはありません。

call_user_method()かわりに call_user_func() を使用します
call_user_method_array()かわりに call_user_func_array() を使用します
define_syslog_variables()
dl()
ereg()かわりに preg_match() を使用します
ereg_replace()かわりに preg_replace() を使用します
eregi()かわりに preg_match() で ‘i’ 修正子を使用します
eregi_replace()かわりに preg_replace() で ‘i’ 修正子を使用します
set_magic_quotes_runtime() およびそのエイリアスである magic_quotes_runtime()
session_register()かわりにスーパーグローバル $_SESSION を使用します
session_unregister()かわりにスーパーグローバル $_SESSION を使用します
session_is_registered()かわりにスーパーグローバル $_SESSION を使用します
set_socket_blocking()かわりに stream_set_blocking() を使用します
split()かわりに preg_split() を使用します
spliti()かわりに preg_split() で ‘i’ 修正子を使用します
sql_regcase()
mysql_db_query()かわりに mysql_select_db() および mysql_query() を使用します
mysql_escape_string()かわりに mysql_real_escape_string() を使用します
ロケールカテゴリ名を文字列で渡すこと。かわりに LC_* 系の定数を使用します
is_dst を mktime() に渡すこと。かわりにタイムゾーン処理用の新しい関数を使用します

タグ: ,

WORDPRESSセキュリティ その1


WORDPRESSは有名で無料でオープンソースだから、何かとクラッカーの研究対象となりセキュリティ面では他のCMSよりも厳しい評価が下されることがあります。

但し、一般的には以下の処置をするとかなり安全になりますので、是非お試しください。

WORDPRESSのセキュリティ対策

  • xlmrpc.phpの停止 or 外部から触れないようにする
  • wp-admin or wp-login.php を自分以外に触れないようにする  IP縛り
  • wp-admin,wp-includesをを自分以外に触れないようにする IP縛り
  • ログインアカウント名をadmin以外の想像つきにくいものにする
  • robots.txtでシステムフォルダーをインデックスさせない
  • wp-blog-header.phpとwp-config.phpをroot権限にする。そしてapache権限で書き換えられないようにする。
  • /wp-includes/nav-menu.phpをroot権限そしてapache権限で書き換えられないようにする。
  • wp-cron.phpを外部から叩けないようにする。ローカルホストのみ弄れるようにする。
※⑦番目はIPAでも案内出てました。弊社のお客様でも最近ありましたが強烈な攻撃です。

タグ: , ,