「WordPress」カテゴリーアーカイブ

ワードプレスの危険なプラグイン 2019年4月版 yuzo-related-post ← クラック注意!!


ワードプレスの関連記事表示を行うプラグイン YUZO-RELATED-POST はクラックされていて危険

今回物騒なタイトルですが、これ本当です。

ノウハウツリー管理人が運営しているとある別サイトのお話でがこのプラグインがクラックされてサイトにアクセスすると別のページにリダイレクトされるという被害が出てました。

関連記事を表示するプラグインとして

yuzo-related-post

を入れていたのですが、このプラグインにセキュリティ上の脆弱性があり、サイトにアクセスすると他のサイトに飛ばされるというちとやばいことになってました。

てっきりindex.phpや.htaccessが書き換えられたのかな?

とWinSCPで接続して直接ファイルをのぞきましたが、それ自体は書き換えられていませんでした。

同じ様な症状になっている人は、速攻でWordPressのプラグインとして yuzo-related-post をアンインストールしましょう。これがその問題のプラグインです。

ワードプレスの一覧上の表示は

Related Posts 

Related posts so easy and fast

バージョン  5.12.90 作成者: Lenin Zapata

となっています。yuzo(ゆうぞう)という名前はどこにも表示されていません。

右側のプラグインのサイトを表示をクリックすると

こんな感じのページが表示されます。

インストールしている人は危険なのでマジで速攻消しましょう。

幸いな事にもWordPressの管理画面には問題無く入る事が出来ます。

http://サイト名/wp-admin

でログインし、インストール済のプラグインからRelated Postsを無効化して削除すれば問題解決します。

yuzo-related-postを入れてクラックされるとどうなるか?

このプラグインの脆弱性の為にサイトにアクセスすると何サイトもリダイレクトされてページが飛ばされます。

yuzo related postsのプラグインが入った状態で

サイトにアクセスすると

https://hellofromhony.com/goawy?temp=777&

にリダイレクトされます。

更にリダイレクトがかかって

hello23.icu の内容

Window 10 によってWindowsシステムが古くなり破損していることが
検出されました。

ファイルが削除されないように 指示にしたがってすぐ修正してください。

という完全にマルウェアに感染させようという魂胆丸見えのページに誘導されます。

ブラウザのタブを閉じてしまいましょう。

嘘っぱちです。

画面の指示に従っていくとマルウェアをインストールさせられてしまうので注意!!

タイミングによっては

ユーザ様、おめでとうございます

誠意あるGoogleユーザになって下さったことに、お礼を申し上げます!あなたのIPアドレスであるXXXは、無料の Apple iPhone XSを受け取っていただくために無作為に選択されています。

弊社では時々、一部のGoogleユーザを選択し、弊社パートナーやスポンサーからの有益なプレゼントを受け取っていただける機会を差し上げています。これは、あなたが優先して利用する検索エンジンとしてGoogleを選んで下さったことに対するお礼です。

今日はあなたにとってラッキーは1日です!無作為抽選により、このプレゼントを受け取っていただける10名のひとりとして、あなたが選ばれました。

これを受け取るには、この短い無記名アンケートにお答えください。ですが、急いで!本日のプレゼントは残り少なくなっています!

Googleにどのくらい満足していますか?

大変満足   満足   不満

この様にGoogleを装った偽ページが表示される事があります。

初めてこんな症状が出た時は結構焦りましたw

てっきりサーバのroot権限までクラックされてしまったのかと思ったのです。

ワードプレスの yuzo related posts  が諸悪の権化でした。

便利なプラグインでこれまで使っていましたが、クラックされる様な脆弱なプラグインは使うべきではありません。

もう二度と yuzo related posts は使いません!!

皆さんも怪しいプラグインには十分に注意してくださいね!

 


2019年度版 おすすめのワードプレスのテーマ はAstraだ


2019年3月時点で個人的に気に入っているワードプレスのテーマはAstraです。デザイン・使い勝手も含めていい感じです。

WordPressの公式が出しているTwenty Nineteenよりも断然良いです。

備忘録として、個人的なメモを残しておきます。

フッターのクレジットを消す方法

一般的なWordPressのテーマとは異なって

外観 > テーマ(Theme Editor) > footer.php

を開いてもその中にPowerd by Astraというクレジット表示が見つかりませんでした。

そこでどのファイルで出力しているのか調べる為に

What The File

というプラグインをインストールしました。

このプラグインをインストールすると、簡単にテーマがどのファイルで構成されているのかを簡単に探す事が出来る様になります。

ここでは、Astra(アストラ)が使用しているPHPファイルが簡単にわかります。

クリックするとそのまま編集画面に移動する事が出来ます。

$section_2 = astra_get_small_footer( ‘footer-sml-section-2’ );

$section_2の中にクレジット情報が文字列として格納されていたので、それをコメントアウトする事で非表示に成功しました。

なかなか良いテーマでした。なのでクレジットは消さずに使ってあげてください!

あくまでも知識としてメモっておいた次第です。

 

 


WordPressのプラグイン Contact Form 7を使用していてエラーが発生した時のお話


Contact Form 7 がCrome(PC)で実行するとエラーになった

ノウハウツリー管理人の運営する別のとあるサイトにて

WordPressにContact Form 7のプラグインを入れて問い合わせフォームを作っていました。

その時に奇妙な出来事が起こりました。

なんと、スマホとPC(Firefox)からContact Form 7の問い合わせフォームを経由してメールしたところ正常に届くのに、なぜかGoogle Cromeで実行すると失敗してしまうのです。

表示されたエラー

エラー内容
メッセージの送信に失敗しました。間をおいてもう一度お試しいただくか、別の手段で管理者にお問い合わせ下さい。

スマホのSafariなどでは正常に動作するのになんでCromeでは失敗するの???

頭の中が混乱しましたw

そこで開発者ツールでJSなどでエラーが出ていないか確認したところ、JSでエラーが出ていました。

Contact Form 7 でエラーが出た解決策

Custom CSS & JSというプラグインの中でオリジナルのJSコードを記述していたのですが、それがエラーを起こしていました。

深く追いかけていないので自前のJSエラーと今回のコンタクトフォームのメール送信エラーの関係はまだはっきりは分かりません。

とりあえずContactFormを設置したページではそのJSファイルを読み込まない様にしたところ正常に動作する様になりました。

めでたしめでたし。

 

 

 


WordPressで海外スパム業者による人力画像認証の突破対策


英字・数字の画像認証コードでは不十分

これまで本ノウハウツリーには、スパムコメント対策として

SI Captcha Anti-Spam
BWS Plugins
Captcha

などを入れていました。

しかし、全くといっていい程スパム投稿が減りませんでした。

これらのプラグインもスパム投稿対策プラグインとして広く一般的に知られており有名ではあります。

しかし、実際に使ってみたところいまいちでした。

画像認証を人力で突破されまくりだからです。

これらのプラグインも画像認証になっているのでコンピュータプログラムによる自動投稿ではありません。

では、なぜスパム投稿がされてしまっていたのでしょうか?

調べてみたところ

なんとこれらのスパム業者は、バングラディッシュやインドの農村部など人件費の安いエリアで、低賃金で雇われた人間が手動(目視)でコメントスパムを行っている為です。

その為、数字やアルファベットの画像認証が簡単に突破されていたのです。

FaceBookのいいね!YouTueの動画再生数の水増しなどもこれらの海外の業者が手動で行っている様です。

いいね!工場

とも呼ばれていますw

では、WordPressの手動スパム投稿をどうすればブロックできるのか?

業者が手動でコメントスパム投稿を行っている以上、単純(数字・英字)な画像認証を入れたとしても効果はほぼありません。

海外のスパム業者が人を雇って人力で投稿している為です。

その対策として有効なのは、日本語文字列が画像認証として表示されるプラグインを導入する事です。

もっとも日本語画像認証のプラグインは、日本語なので日本人であれば目視・手動でコメントスパムを行う事が可能です。

ですが、バングラディッシュやインドとは違って日本の人件費は最低でも時給1,000円はかかります。

日本でそんなスパム投稿を業者が仮に行ったとしても、日本では赤字になります。

よって日本語プラグインを入れさへすれば海外からのスパム目視(人力)投稿をブロックする事が出来ます。

WordPressでおすすめな日本語画像認証プラグインは何か?

SiteGuard WP Plugin

このプラグインを入れるとOKです。

画像認証コードがひらがなで表示されます。

海外のスパム業者にしてみてもいちいち日本語キーボードに切り替えた上でスパム投稿を行おうとすると非常に効率が悪いです。

こういった低賃金で単純作業を行っている人間自体、そもそも日本語を読めない人が大半です。

海外スパム業者がスパム投稿をするのは数字英字の画像認証コードだけです。

SiteGuard WP Plugin をインストールした時の注意事項

SiteGuard WP Pluginをインストールするとスパム投稿をブロックする事が出来て良いのですが、余計な機能としてWordPressの管理画面のURLまで変更されてしまいます。

これはこれで便利なのですが、ログインURLを書き換えられると
面倒だな~という場合には、

プラグインの設定変更ページを開いて

ログインページ変更 > OFF > 変更を保存

をクリックします。

パスワードに英数字混在の長い文字列を設定している場合には
量子コンピュータでも出来ない限りまず突破されないので
OFFにしておいた方が何かと便利です。

英数字混在で30桁以上を設定しておけばまず安心です。

 

こちらが実際に

SiteGuard WP Pluginで日本語画像認証を入れた画面です。

いい感じで日本語になってますね^^

スパムが壊滅しましたw

おすすめです!

 


WordPressのプラグインwp social bookmarking lightをアップデートしたらエラー発生~対処方法~ 


2017年7月17日にWordpressのプラグイン(wp social bookmarking light)をアップデートしたところ

Parse error: syntax error, unexpected T_STRING in /home/~略~/wp-content/plugins/wp-social-bookmarking-light/wp-social-bookmarking-light.php on line 44

というエラーが出ました。

しかし、バグのあるプラグインを作者がリリースするとも思えず色々と調べてみたら、この原因はレンタルサーバーで使用しているPHPのバージョンが古い事が原因でした。

またPHPのバージョンが古いと wp social bookmarking lightだけではなく、wordpress relational postsも同様のエラーが出てしまいます。

現行で既に古いPHPで動いているWEBサービスがあった為、PHPのバージョンを上げるのは正直迷いましたが、上げてみたところ今のところ問題はありませんでした。

さくらインターネットでPHPのバージョンを変更する

使っているレンタルサーバーがさくらインターネットの場合、簡単にPHPのバージョンを変更する事が出来ます。

サーバコントロールにログインします。

画面左にあるPHPのバージョン選択をクリックします。

PHPのバージョン選択
PHP言語の設定変更はすべて【上級者向け】です。
言語に関する仕組みが理解できない場合は、利用をご遠慮ください。
PHPのバージョンを選択できます。
PHPに関して詳しくわからない、細かなバージョン指定を必要とされない方は、 「推奨」のまま利用し、変更を行わないでください。

という画面が右側に表示されます。

新しいバージョンのプルダウンより標準のPHP[PHP5](推奨)を選択し変更をクリックします。

2017年7月17日時点で、PHP 7.1もありますが、何等かのバグがありそうで怖いのであえてこれは選択しませんでした。

標準のPHP[PHP5](推奨)を選択すると

PHPのバージョンがPHP5.2→ PHP5.6[標準のPHP」(CGI版)に変わります。

以上、こんな感じでPHPのバージョンをアップデートしたところ正常にwp social bookmarking lightwordpress relational postsのプラグインがエラーが出る事も無く最新版になりました。

WordPressでプラグインをアップデートした時に今回の様なエラーは他のプラグインでも十分に起こりえます。

その他のWEBサービスを運用している場合、DB/スクリプトなどのバックアップをきっちり取った上でプラグインの更新をする様にしましょう。

こういったトラブルシューティング方法がネットで検索してもヒットしないのでメモっておきました。

ええなぁ~と思ったら「いいね!」ボタンホンマよろしくな!

 

 

 

 

 

 

 


WordPressにカスタムCSSを導入する方法


カスタムCSSの必要性

WordPressは非常に便利なコンテンツ管理システムです。そして使っているうちにCSS(スタイルシート)を色々とカスタマイズしたくなる事も多いと思います。

通常であれば利用しているテーマ(Theme:正しい発音はスィーム)のstyle.cssを直接いじったりする訳ですが、そうするとテーマがアップグレードされた場合に折角カスタマイズしたスタイルが全てパーになってしまいます。。。そんなトホホな状況にそんな事にならない為にカスタムCSSを使える様にしておいた方が良いです。

テーマによっては最初からカスタムCSSが使える物もある様です。無い場合には、以下手順でプラグインをインストールしておきましょう。

なお、カスタムCSSと呼んでいるのは自分オリジナルのスタイルシートを定義したCSSファイルを作成し、テーマ付属のstyle.cssに一切手を加える事なくオリジナルのスタイルを適用するという意味合いです。ちょっと説明が難しいですが何となくイメージが沸いたでしょうか。

プラグイン Simple Custom CSS and JS のインストール

WordPressのサイドメニュー > プラグイン >  新規追加 > キーワード

Simple Custom CSS

と入力します。

すると自動でプラグインが絞り込まれます。

Simple Custom CSS and JS のプラグインがヒットするので

今すぐインストールをクリックします。

インストールが完了したら有効化をクリックします。

メニュー > プラグイン > インストール済みプラグイン > Simple Custom CSS and JS > 設定

をクリックします。

Add CSS codeをクリックします。

定義するカスタムCSSにタイトルを付けます。名前は何でもかまいません。英数字で分かり易い名前を付けると良いでしょう。

ここでは、

custom_css_test.css 

と入力しました。下枠にCSS(スタイルシート)を定義します。

画面右側のLinking typeでCSSの反映場所の切り替えが出来ます。

ここでは、internalにチェックを入れて更新をクリックします。

カスタムCSSを反映した上で任意のページを開くと、<head>タグの中に定義したCSSが出力されている事が分かります。

 

では、今度はLinking typeをExternal Fileにチェックを入れ更新をクリックしてみます。

ページを開いてみると、

External Fileを選択すると外部ファイルにCSSが定義されている事が分かります。

<link rel=’stylesheet’ id=’2511-css’ href=’http://XXX/wp-content/uploads/custom-css-js/2511.css?v=5622′ type=’text/css’ media=’all’ />

  • External File
  • Internal

のうち、どちらの方法でスタイルを適用させるかは自由ですが、ページロード時の速度などを考えると最終的にはExternal Fileにしておいた方が良いでしょう。

また、Were in site という項目があります。これは定義したカスタムCSSの反映先を

In Frontend → ユーザの見える表側に適用

In Admin → WordPressの管理画面に適用

という意味です。 したがってIn Frontend のままでよいでしょう。

 

 


WordPressでメタ情報が表示される位置を変更する方法


WordPressのテーマ「Twenty Thirteen」において、記事ページに表示されるカテゴリーやタグ、投稿日といったメタ情報の表示位置を変更する方法をご紹介します。
※この記事は「WordPress 4.7.2 」の テーマ「Twenty Thirteen バージョン: 2.1」においてのものです。

変更する方法はいたって簡単です。
「content.php」ファイルにある以下の部分を、表示させたい部分へ移動させるだけです。

<div class=”entry-meta”>
<?php twentythirteen_entry_meta(); ?>
<?php edit_post_link( __( ‘Edit’, ‘twentythirteen’ ), ‘<span class=”edit-link”>’, ‘</span>’ ); ?>
</div><!– .entry-meta –>

 

私は記事ページ上部に表示されていたメタ情報をページ下部へ移動させたかったので、もともと「content.php」ファイルのheader内にあった上記の部分を、同じ「content.php」ファイルのfooter部分(下記)の上に移動させました。

<footer class=”entry-meta”>
<?php if ( comments_open() && ! is_single() ) : ?>
<div class=”comments-link”>
<?php comments_popup_link( ‘<span class=”leave-reply”>’ . __( ‘Leave a comment’, ‘twentythirteen’ ) . ‘</span>’, __( ‘One comment so far’, ‘twentythirteen’ ), __( ‘View all % comments’, ‘twentythirteen’ ) ); ?>
</div><!– .comments-link –>
<?php endif; // comments_open() ?><?php if ( is_single() && get_the_author_meta( ‘description’ ) && is_multi_author() ) : ?>
<?php get_template_part( ‘author-bio’ ); ?>
<?php endif; ?>
</footer><!– .entry-meta –>

WordPressプラグインTable of Contents Plusの使い方


見出しを簡単に作成する事が可能

書籍の目次の様に記事の中に見出しを作成する事が簡単に出来ます。機能が色々とあるので自分用にメモしておきます。

基本設定

位置

どの位置にTable of Contnts Plus を使って生成した目次を表示するかを設定します。最初の見出しの前(デフォルト)で良いでしょう。

表示条件

見出し(h1~h5など)が1記事の中でいくつ使用されている場合に、Table of Contents Plusでレンダリングするかを指定します。デフォルトでは4ですが2にしておきます。

以下のコンテンツタイプを自動挿入

postpage にチェックを入れます。

見出しテキスト

目次の上にタイトルを表示にチェックを入れます。

Contents → 目次

ユーザによる目次の表示・非表示を切り替えを許可にチェックを入れます。

テキストを表示 show → 表示

テキストを非表示 hide → 閉じる

番号振り

目次の見出しの先頭に番号を振る必要が無い場合には、チェックを外します。ただし、一記事の中に複数の見出しがある場合には番号があった方が整理されていて分かりやすいと思いますので、入れておいた方が良いでしょう。

 

スムーズ・スクロール効果を有効化

アンカーリンクにジャンプではなくスクロールする

にチェックを入れると、目次見出しをクリックした時にその位置までスクロールして表示されます。

また。チェックを入れなければ、目次タイトルをクリックするとその位置まで一度に移動します。

 

 


WordPressでシングルクオーテーション「’」やダブルクオーテーション「”」が全角になるのを防ぐ方法


WordPressの標準ではクオーテーションマークは全角で表示される

WordPressでは、シングルクオーテーション」やダブルクオーテーション」を入力して記事を書いて保存した場合、表示した時に全角で表示されてしまいます。通常の日記などではこれらのクオーテーションマークを使う事はありませんが、よく使うSQLやプログラムをWordPressで記述するとコピペが出来なくなってしまい効率が悪いです。そんな場合には、以下の手順を踏む事によって、半角のシングルクオーテーション・ダブルクオーテーションで表示する事が出来ます。

という訳でこれも重要なのでメモっておきます。

function.phpを編集する

ワードプレスの管理画面にアクセス > 左メニュー > 外観 > テーマの編集 >(画面右側に)テーマのための関数

(function.php)があるのでそれをクリックします。

function.phpにずらずらと既に定義済の色々なphpコードがあります。コードの一番下に移動して次のコードを入力してファイルを更新をクリックします。

//半角クオーテーションで表示する。
remove_filter(‘the_excerpt’, ‘wptexturize’);
remove_filter(‘the_title’, ‘wptexturize’);
remove_filter(‘the_content’, ‘wptexturize’);

quote

これでシングルクオーテーション・ダブルクオーテーションで正常に表示できる様になります。

 


WordPressで設定したデータベースのパスワードを確認する方法


WordPressに設定したデータベースのパスワード確認は意外と簡単

さくらインターネットにWordPressをクイックインストールしたのですが、その時に設定したDBのパスワードが分からなくなってしまいました。

さくらインターネットのサーバーコントロール画面に入ってもDB名、DBユーザ名までは見えますが、設定したパスワードはマスクがかかっていて見えません。

db-name

いやーまいったなーと思っていて調べてみたところWordPressのインストール時に設定したDBパスワードを確認する方法が見つかったのでメモっておこうと思います。

DBパスワードの確認方法

WordPressをインストールしたディレクトリに

wp-config.php

というファイルがあります。このファイルを開きます。WinSCPで開こうとすると文字化けしてしまう場合には、ローカルに一旦ダウンロードしてさくらエディタなどで開きましょう。

すると29・30行目あたりに

/** MySQL データベースのパスワード */
define(‘DB_PASSWORD’, ‘XXX‘);

この様な定義があります。XXXがDBに設定したパスワードになります。

 

あとで分からなくならない様にしっかり台帳などにメモっておきましょう!