(IT) WordPressで作ったサイトを無料でhttps化してみる


Googleさんが10月からhttps化されてないサイトは順位下げるよ、と
公言しはじめて、会社のサイトを全部やらなきゃな雰囲気になってきた
ので、まずは、このサイトもhttps化してみようかと。

まずは「Let’s Encrypt」(リンク先は非公式解説サイト)を
つかって、apacheまわりの設定。gitからletsencryptのスクリプトを
落としてきて実行すると、鍵ファイルが降りてくるので、ssl.confを
書き換えてあげるだけ。
手順はここがシンプルで分かりやすい。
confファイルを書き換えたので、httpd再起動する。

続いてAWSのマネジメントコンソールでセキュリティグループで
ポート443を空ける。

最後に「Really Simple SSL」というプラグインをWordpressに
インストールして有効化。
をお、写真のファイルも管理画面もhttpsになってる。すげー。
後でもうちょっと検証するけど、大丈夫そう。
すげー簡単だった。

<後日追記(2017.11.1)>
証明書の期限が3ヶ月でキミのサイトの証明書もうすぐ切れるよ?って
メール来た。ありがとう。
crontabでcertbot-auto renewを2ヶ月に一度実行する設定を追加した。
<後日追記ここまで>

(IT) WordPressターゲットにした攻撃を受けた


いや、このサーバーではなくて、仕事関係のね。
何か荒らされるとかそういうことでなくて、サーバーに負荷をかけ続けられて、
いずれは、サーバー上のDB(mysqld)とかWebサーバー(httpd)が耐えかねて
落ちる、ということになる。愉快犯なんだろうなあ。
WordPressのピンバック機能のためのプログラムxmlrpc.phpへの大量の
アクセスをして、サーバーを不安定に陥れよう、という攻撃(いたずら?)

どんな対策をしても攻撃というか大量アクセスは来るので、防ぎようはないんだけど、
当該のプログラム(xmlroc.php)の動作を制限するなどして、
「このサイトは攻撃しても無駄だ」と思わせてアクセスが減るのを待つしか
ないというのが、なんとも歯がゆいところだが。
対策は専門の方がたくさんエントリをかかれているので、それを参考に。
Google先生に「WordPress xmlrpc.php 対策」とか聞いてみればたくさん出てくる。

ちなみに攻撃の例がこれ。某サーバーのアクセスログ。
xmlrpc.php
これで大体、30秒分。これが延々と10メートルくらい続く。
まあ、よほど性能のいいサーバーでないと、程なく死ぬよね。

アクセス元は中国かとおもいきや、実はアメリカ。まあ、アメリカからもこういうの
多いのは確かなんだけどね。テキサス州ダラスだって。
Softlayerというクラウド業者のサーバーから来てる。
ちなみに、別の仕事の別のサーバーも同じアクセス元(微妙にIPは違うけど)だった。
ちゃんと調べてないけど、悪い事するには都合のいいサービスなのかもしれない。
Softlayerというところ。なんとIBM様とも提携なさっておられるとか。

気のつけようもないけど、対策だけはきっちりやっておいた方がいいですよ。
まずは、WordPress本体やPluginを最新に保つことは基本ですね。