Categories
PHP+MySQL WordPress プラグイン ホームページ制作・作成

お問い合わせフォームを WordPress のプラグインとして制作

当オフィスの既存のお問い合わせフォームの仕様と同じく WordPress のプラグインとしてお問い合わせフォームを制作しました。

お問い合わせフォーム for WordPress

入力項目毎に正規表現による入力内容のチェックを実施するなどで汎用性がないことから、WordPress の公式ディレクトリへの登録は実施しない予定です。

当お問い合わせフォームは、同じ URL で「入力」→「確認」→「送信」の流れになっています。また、フォームに入力されたデータは、指定のメールアドレス宛にメールを送信するだけです。データベースへの保存は行っておりません。

WordPress でお問い合わせや資料請求などのフォームでこだわったものをお探しの際は、当オフィスまでお気軽にご相談ください

[mokurenCB]

Categories
WordPress ホームページ制作・作成

WordPress やプラグインのバージョンアップは実施していますか?

先月のお話しですが、Wordpress の全バージョンが対象となる XSS の脆弱性がみつかり、その対策バージョンが公開され、同時に更新するよう呼びかけられました。

WordPress 4.3.1公開、3件の脆弱性を修正

対策されたバージョンは以下の通り。

対象バージョン 対策バージョン
3.7 ~ 3.7.10 3.7.11
3.8 ~ 3.8.10 3.8.11
3.9 ~ 3.9.8 3.9.9
4.0 ~ 4.0.7 4.0.8
4.1 ~ 4.1.7 4.1.8
4.2 ~ 4.2.4 4.2.5
4.3 4.3.1

WordPress は、 3.7 以降、マイナーのバージョンアップを自動的に実施するため、発表から1か月以上経過している現在においては、対策バージョンに更新されているサイトがほとんどであろうと思われます。但し「バージョンアップしてレイアウトが変わってしまうのが嫌」などの様々な理由により、マイナーの自動バージョンアップを解除し、古いバージョンで運営されているサイトもちらほらみかけます。ちなみにバージョンは、管理画面で確認できますが、特に設定していない場合、公開されているページの HTMLソースでも確認できます。

早くバージョンアップされることを強く推奨しますが、バージョンアップの自動化を解除しているのであれば、同時にバージョンの表示もしない設定にされることも推奨します。
実は、当事務所の同業他社のサイトが・・・。(^^;

あと、プラグインもセキュリティ関連のバージョンアップがよくあります。Wordpress の自動更新がデフォルトの場合、プラグインの自動更新は実施されていません。管理者に聞きながらバージョンアップされることを推奨します。

WordPress によるホームページ制作、リニューアル、および上記のようなサイトのセキュリティ関連などはお気軽にと当事務所までご相談ください。他社が制作されたホームページでもOKです。

[mokurenCB]

Categories
WordPress ホームページ制作・作成

WordPress の設定に関して。。。

仕事のご依頼で WordPress を使うことが多々あるのですが、WordPress の言葉を目にする度に思い出すのが「WordPress×ロリポップのページ改ざん」。当事務所のクライアントさまで直接被害を受けたサイトはありませんでしたが、セキュリティについて改めて考えさせられた問題でした。

ページ改ざんの原因のところで。。。

また、wp-config.php のパーミッションが 644 だったことを利用して、設置されたスクリプトによりデータベースの接続情報の取得がおこなわれ、データベース上のデータの書き換えが可能な状態となっておりました。

実施した対策のなかで。。。

・未インストールの WordPress の管理者権限を第三者に取得されないための対策
install.php のパーミッションを変更いたしました。

あと。。。

以前より、サーバー上に設置された不特定多数の wp-login.php に対し海外から大量のアクセスが発生していることを検知いたしておりました。

当事務所では、上の wp-config.php,install.php は、パーミッションの変更だけではなく、.htaccess によるアクセス制限も実施しています。また、wp-login.php および関連する wp-admin へのアクセスは可能な限りIPアドレスによるアクセス制限を推奨しています。さらにログインを設定回数失敗した場合は設定時間経過するまでアクセスをNGにするプラグインの設置を行っています。

WordPress は導入も容易で優れたCMSであり、さまざまなサイトで使われています。それ故、狙われやすいシステムでもあります。WordPress を導入しているまたは導入予定である場合、デザインやコンテンツだけではなく、セキュリティについても今一度お考えになることが大切と思います。

Categories
WordPress

WordPress ハッキング被害

数日前からロリポップで WordPress を利用されているサイトが多数ハッキングされているもよう。

WordPressフォーラム

弊社クライアントで該当するサイトはもちろんのこと別サーバーで WordPress を利用されているサイトも含めてチェックしたところ、幸いにも被害はゼロでした。

但し、ゼロだからと安心する訳ではなく、ロリポップの報告( http://lolipop.jp/info/news/4149/ )をチェックしながら、しばらく監視を続けます。

Categories
javascript(jQuery) WordPress ホームページ制作・作成

楽しいページ

数日前、私自身も所属している「麻小おやじの会」のページを作成しました。

http://asaoyag.hotcom-cafe.com

jQueryとパララックス

JarallaxというjQueryのプラグインを利用いています。このプラグインは、ページのスクロールにあわせてパーツを動かすものです。言葉で説明するより実際にページをみていただければわかると思います。ちょっと楽しいです。

但し、欠点が! Internet Explorer のバージョンが8以前の場合、動きません。IE9以降が必要です。
また、スマートフォンでの閲覧でもNGです。

近日、上記 Jarallax のようなプラグインの人気は高まっており、Jarallax 以外でも以下のプラグインがあります。デモを覗くと楽しいですよ。「jQuery パララックス」で検索すると多数ヒットします。

サーバー

選択したサーバーは、freeweb。フリーサーバーです。でも、WordPressが使えます。FTP接続でファイルのアップもできます。無料の理由は、各ページ最下部に表示されるテキスト広告1行のみです。

実際に使ってみて、時間帯によりFTP接続によるファイルのアップでエラーになることがあります。混んでいるときなんでしょうねぇ。。。