20月 「青天を衝け(40)」「「鬼滅の刃」遊郭編(3)」
21火 「ウルトラセブン(24)(25)」
22水 「ウルトラセブン(26)(27)」
23木 「ウルトラセブン(28)(29)」
24金 「ちびまる子ちゃん(12/12)」「ウルトラセブン(30)(31)」
25土 「ウルトラセブン(32)(33)」
26日 「青天を衝け(41)」
2021年12月アーカイブ
13月 「日本沈没(9)」
14火 「日本沈没(9)」
15水 「日本沈没(9)」「「鬼滅の刃」遊郭編(2)」
16木 「ちびまる子ちゃん(12/5)」「歴史探偵(12/15)」
17金 「ウルトラセブン(20)(21)」
18土 「ウルトラセブン(22)(23)」
19日 「クレヨンしんちゃん(12/18)」「青天を衝け(40)」
ようやくサーバーの調整作業が落ち着いたと思いきや、何日も経たぬうちにシックス・アパートから「セキュリティアップデートにおける脆弱性への修正が不十分であることがわかりました」とのメールが届く。よもやよもやである。
今すぐ作業というわけにもいかず、かといって時間をかけて調整したところでまたまた攻撃を食らってはかなわないと、ひとまずサーバーにあげたデータをすべてダウンロードしておく。そして今日、時間が取れたところで、MTを7 r.5004から7 r.5005にアップデートする。
httpをhttpsに変える常時SSL化といえば少し前まではEコマースのサイトで使われるものというイメージがあったが、昨今では通常のサイトでもSSL化が当たり前のようになっているらしい。
また、これまでSSL化するには別途費用がかかるものと思い込んでいたが、なんとサーバーのサービスにより無料で実現できるということを今回の攻撃被害のごたごたで知る。
無料でセキュリティ面が向上、SEO対策にもなる。というわけでやらない手はない。しかも契約するさくらインターネットではそれがコントロールパネルからの操作だけで完了するというのだから、なんでもっと早く教えてくれなかったのという感じ。MTの移行作業も落ち着いたので早速実行してみる。
ちなみに、さくらでは有償SSL証明書ももちろんあるわけだが、今回利用するのは Let's Encrypt という無料のSSLである。
いざコントロールパネルから登録設定。証明書が発行されるまではわりと待たされる。10分ちょっと待つと証明書発行のお知らせメールが来た。
さて、正しく表示されるか確認。
するとMTのブログ表示がおかしい。なんだ簡単にいかないじゃないかとまたまた情報を探る。
さてさて、対処法はというと。
MTの親サイトの「設定 > 全般」で、公開パスのサイトURLをhttpからhttpsに変更して、全再構築。
ひとまずこれでおかしい表示はなくなったが、ブラウザが「このページの一部は安全ではありません」と半SSL状態になっている。
どうやらページ内の画像のパスもhttpからhttpsに変えないとならないようだ。
ひと月ほど前のある日、MTで構築しているこのブログの表示がおかしいことに気付く。管理画面にも入れなくなっている(後で気が付いたことだが、MTのシステムフォルダがごっそり無くなっていた)。
おかしいなと思いつつ数日、どうやら10/20に発表されたMovable Typeの脆弱性(CVE-2021-20837)による攻撃被害であるということがわかってくる。FTPで確認すると、見覚えのないフォルダがあり、怪しげなファイル(.htaccess、index.php)が消しても消してもサーバーに自動生成されるのだ。
どうしたものかネットで情報を探り、契約しているさくらインターネットのサポートにも相談。すると「サーバーを初期化したほうがよいでしょう」とのこと。やはりそれしかないか。
通常のページは元ファイルがあるので問題ないが、MTをまた一から構築しなければならないことを考えると気が遠くなる。ただ、データベースには被害が及んでいないようなのでそこは救いがあった。データベースをエクスポートして、初期化の前にまずはMTの構築作業を試してみる。
疑問だったのはMTのバージョンを変える時の手順。試してみると移行と同時にアップグレードも可能なことがわかる。というわけで、この機会にMTは6.3.2から脆弱性を修正された7 r.5004にアップグレードすることに。
さて、あらためてさくらのサポートに初期化を依頼。ほどなく、まっさらになったサーバーに元ファイルをひとつひとつ確認しながらアップしていく。
MTの構築も果たしてうまくいった。ちなみにデータベースはこれまでのものはそのまま使わず、別に新しく作ってインポートしている。表示されなくなっていたブログパーツや、プラグインに一部未対応のものもあったので、この時ばかりとそれらの見直しも行う。MT6とMT7では管理画面をはじめシステムに若干の違いはあるようだが、ブログページの表示に関してはまったく変わりはなく、安心する。
そうそう、サーバーの移転やMTの構築にはとびきり時間がかかるものと思い込んでいたが、今回は作業前に悩みこそすれ、実際にやってみると意外とわけなく済んだ。それはこれまで遅いネット環境を利用していたことによるのだと思う。ADSLを光回線にしたことで、データベースのエクスポートやインポート、MTのシステムファイルアップも早いし、回線速度に起因するようないらぬエラーも発生しなかった。正直、ホッと。
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
リッチテキストエディタの右クリックメニューに「リンク」しか表示されない
6月 「女系家族(2)」
7火 「女系家族(2)」
8水 「青天を衝け(38)」
9木 「クレヨンしんちゃん(12/4)」「歴史探偵(12/8)」
10金 「日本沈没(8)」
11土 「ちびまる子ちゃん(11/28)」「「鬼滅の刃」遊郭編(1)」
12日 「クレヨンしんちゃん(12/11)」「青天を衝け(39)」
29月 「日本沈没(7)」
30火 「「鬼滅の刃」無限列車編(6)(7)」
1水 「歴史探偵(12/1)」
2木 「ちびまる子ちゃん(11/7)(11/14)」「ウルトラセブン(16)(17)」
3金 「ちびまる子ちゃん(11/21)」「ウルトラセブン(18)(19)」
4土 「女系家族(1)」
5日 「女系家族(1)」