unblogged

mezzo forte の「のほほん」な日記

Archive for 2013年9月

アフィ厨2

アマゾンギフト券以前書いたアマゾンのアソシエイトプログラムから1年余り。実はこの間にも7,000円ぐらい受け取っていたのだが、その後ここの更新が鈍ってからまったく稼げなくなった。更新をマメにやらないとアフィリエイトはダメらしい。稼ごうと思うならラクはできないということなんだろう。まあムキになって稼ごうとか思ってないからいいんだけれど。

で、これまた放置気味のアプリ「Mersenne」や、このブログに仕込んだ Google AdSense の広告が、ようやく忘れた頃に1万円以上になって振り込まれた。

ネット銀行口座の残高Google AdSense というのは自分のブログやアプリに広告を貼り、クリックされることで対価をもらえる仕組みだが、1万円以上(今月から8,000円以上)貯まらないとお金が振り込まれない。1回のクリックで大体10円から50円程度なので、本当にポツポツとしか貯まらない。いや、ムキになって稼ごうとか思ってないし。別にいいんだけれど。

いかんせん Mersenne は全くユーザーにやさしくない上に意味不明なアプリなので実行ダウンロード数が少ないし、ここもテーマがバラバラで気まぐれなおっさんの辺境ブログなので訪問者数も少ない。なんだかんだ登録してから1年半以上かかった。日給に換算すると・・・というか計算もしたくない。いや、だからムキになって稼ごうとか思ってないんだってば。まったくもって本当に。

こないだとある相談サイトで「大学4年生の息子が就職活動をしていません。2chのまとめサイト運営で食べていくと言っています」というのがあった。なんというか、日本って平和だなぁと思う。

うん、マトモに働いた方がいいよ。うん。

posted by mezzo forte in computer,diary and have No comments

WordPressのセキュリティ強化

最近ここを放置気味だが、放っておくと Akismet が弾いてくれた spam コメントが大量に溜まってしまうので、しつこい輩は IP でアク禁にしたりしていた。しかしあまりに多すぎるのでおかしいと思い、久々アクセスログを覗いてみたら、wp-login.php へのアクセスがとんでもないことに。

なんだこりゃあ

11,496? ちょっと異常すぎるだろ!

何やら最近 WordPress の改ざんを狙ったブルートフォースアタックが流行っているそうなのだ。このブログはユーザー名が admin のデフォルトのまま。パスワードが一般的なワードでないとはいえ、これはマズイ。対策のためにプラグインを探したら以下のが良さそうなので入れてみた。

 Force Email Login   作者:Takayuki Miyauchi

データベースやユーザー名に変更を加えずに、ログインユーザー名を WordPress のユーザーメールアドレスに変更するプラグイン。ログインに失敗すると10秒おかないとログイン画面が表示されないので、ロボットに有効だ。

さあて、これでまずは一安心と思っていたのだが、今日になったらデータベースサーバーが不安定なのかブログが表示されにくい。もしやと思いリアルタイムログを覗いたら、どうやらクラッカーに目をつけられたのか、IPアドレスを変えて何度も wp-login.php に数秒おきにアクセスされている。ひい。

こりゃアカンと思って色々考えた挙句、.htaccess で wp-login.php 自体のアクセスを規制することにした。Wordpress をインストールしてあるディレクトリ直下にある .htaccess ファイルを一旦ダウンロードし、以下の文を挿入して上書き。

<Files "wp-login.php">
  order deny,allow
  allow from .jp  # .jpドメインに一致したらアクセス可
  deny from all    # 他は全部アクセス不可
</Files>

 
私の使っている ISP やスマホは全部 .jp ドメインなので、.jp ドメイン以外は wp-login.php へのアクセスを全部禁止するという乱暴なやり方。クラックしようとしているのはウクライナやらロシア、中国ばかりなので、とりあえずこれで問題ないだろう。もし .jp ドメイン以外の ISP も使っている場合は、allow from のあとに ISP のルートドメインなり、固定IP を入れればいい。

本来はこんな大雑把でなく、あくまでも自分が使っているISPに絞って規制するのが一番安全だが、出先のフリースポットで更新したいとか、自宅サーバーでやってるという人は以下のように色々設定しないとならないかも。

<Files "wp-login.php">
  order deny,allow
  allow from .jp
  allow from .bbtec.net     # Yahoo BB
  allow from .wakwak.com    # WAKWAK
  allow from 192.168.        # LAN 上のローカルマシン
  allow from 127.0.0.1        # ローカルテスト用
  deny from all
</Files>

 
.htaccess にドメイン参照させるとパフォーマンスが落ちるのであまりやりたくなかったのだが、固定IPじゃないから仕方ない。でも設定した途端、データサーバーへのアクセスがなくなり効果てきめん。

– [Thu Sep 12 22:59:41 2013] [error] [client 5.234.78.117] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 22:59:41 2013] [error] [client 5.234.78.117] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 22:59:43 2013] [error] [client 5.234.78.117] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 22:59:43 2013] [error] [client 5.234.78.117] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:03:08 2013] [error] [client 95.78.221.63] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:03:08 2013] [error] [client 95.78.221.63] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:11:39 2013] [error] [client 177.108.34.225] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:11:39 2013] [error] [client 177.108.34.225] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:11:44 2013] [error] [client 108.214.134.32] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:11:44 2013] [error] [client 108.214.134.32] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:12:21 2013] [error] [client 95.78.221.63] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:12:21 2013] [error] [client 95.78.221.63] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:13:35 2013] [error] [client 222.166.214.38] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:13:35 2013] [error] [client 222.166.214.38] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:13:40 2013] [error] [client 222.166.214.38] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:13:40 2013] [error] [client 222.166.214.38] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:19:30 2013] [error] [client 31.192.129.159] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:19:30 2013] [error] [client 31.192.129.159] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:19:40 2013] [error] [client 213.87.141.209] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:19:40 2013] [error] [client 213.87.141.209] client denied by server configuration: /*****/wp-login.php

しかし生ログは見ていると心臓に悪い・・・

posted by mezzo forte in computer,wordpress and have No comments