fnetmasa

投稿の際は下記の情報をお書き添えください。
-------------------------------------------
WordPress のバージョン:(例 6.0.2)
Welcart のバージョン:(例 2.8.1)
PHP のバージョン:(例 8.0)
Welcart専用の拡張プラグインとバージョン:(例 DL Seller 3.4.1、SKU Select 1.4.2)
ご利用の親テーマとバージョン :(例 Welcart Basic 1.7.1)
ご利用の子テーマとバージョン :(例 Welcart Beldad 1.4)
症状を確認したブラウザ:
サーバー【重要】:(会社名、サービス名)
--------------------------------------------

フォーラムへの返信

9件の投稿を表示中 - 1 - 9件目 (全9件中)
  • 投稿者
    投稿
  • fnetmasa
    参加者

    ご丁寧にお返事いただき,ありがとうございます。

    >入金日時(receipted_date)を受注編集画面に表示する方法ですが、
    >カスタマイズすれば可能です。カスタマイズはどの場所に表示するかに
    >より方法(フック)が異なります。

    表示したい場所は,
    「Welcart Management 受注リスト」の受注一覧表示に,項目(入金日)を追加できればと希望しています。

    >カスタム・カスタマーフィールド」はフロントのお客様情報入力ページに
    >表示され、お客様に入力してもらうフィールドです

    確かに。認識不足でした。ありがとうございます。

    >設定を更新」には usces_action_update_orderdata というアクションフックがあります。

    ありがとうござます。いろいろカスタマイズすることが多いですので,助かります。

    >ご利用の WordPress および Welcart、PHP のバージョンが古いので、最新版にアップデートしていただければと思います。

    ご指摘ありあがとうございます。当該サイトは小テーマを使ってはいますが,かなりカスタマイズが入っていますので,アップデートするには,かなりのテストが必要な状態ですので,まだ更新できないでいます。
    セキュリティについては,本筋ではありませんが,業務との兼ね合いで,他の幾つかの方法でセキュリティ対策と,チェックを毎日している状況です。

    年末のご多忙のところ恐縮ですが,よろしくお願いいたします。

    fnetmasa
    参加者

    お返事ありがとうございます。

    以前にSSLでつまづきまして、このSSLボタンの動きを知って当時対応したものの、今回また久しぶりにWelcartで開発を進めましたら、以前のことを忘れていて、同じことで格闘いたしました。

    確かに「切り替え」という意味だと動作の辻褄があいますが、

    「カート部分のみSSLを使う」という感じの表現の方が、慣れていない人には間違いが少ないように思います。

    ご検討ありがとうございます。

    fnetmasa
    参加者

    解決しました。

    usces_action_after_inCart
    のフックを使って、

    $_SESSION[‘usces_cart’]
    を操作して、目的の動きを実装できました。

    返信先: 不正アクセスがありました #82643
    fnetmasa
    参加者

    おはようございます。

    4日間踏み台にされていたのですね。ほんとうにお疲れ様です。

    htacesseは、アドインの設定によって書き換えられることがあります。
    PHPのファイル追加改変がなければ、まだ踏み台にはなっていないです。

    侵入者は自分のログを綺麗に削除してからでていかれますので、ログだけでは発見困難な場合が多いようです。

    返信先: 不正アクセスがありました #82637
    fnetmasa
    参加者

    こんにちは

    すぐに対処すればSPAMは停止できます
    
    すみません、この対処方法が分からないのですが、教えて
    いただけますでしょうか。検索のキーワードなど
    ヒントをいただければうれしいです。

    1時間置きにscannerを設定しておくと、改変ファイル、追加ファイルのがあった場合、メールを送ってきてくれます。
    取り急ぎの対策としては、追加されたディレクトリを削除すれば、SPAM送信ができなくなります。
    ただ、そのまま放置すれば、また再び改変にやってくると思います。

    ・日本国内向けのWPサイトでは、日本からのみアクセス許可
     (ただしGoogle等検索エンジンには見せる)
    ・海外にも見せるサイトは下記3ファイルを海外からは遮断
      wp-cron.php
      xmlrpc.php
      wp-login.php
    
    こちらについても何かヒントをいただけますでしょうか。
    プログラムのことが分からないです。

    こちらについて参考サイトをURLで書いたものの、この掲示板ではURLを自動削除されてしまいました。

    さくらでは「国外IPアドレスフィルタ」という機能があります。
    「さくら 国外IPアドレスフィルタ」でググるとでてきます。

    また、重要3ファイルのアクセス制限については

    「海外からWordPressにイタズラされるので、不正アクセス対策をしました。」

    というあるブログ記事を参考にしました。上記タイトルで検索するとでてきます。

    ご参考まで

    返信先: 不正アクセスがありました #82620
    fnetmasa
    参加者

    こんにちは

    WordPressの脆弱性とプラグインの脆弱性と関連があるようにも
    聞いています。

    はい。そのような事例もあると思います。サーバーそのものの脆弱性もつかれます。

    改ざん時に通知が来ると、改ざんされる前に阻止できるのでしょうか。
    回復したらやってみます。

    いえ。もちろん後から分かります。

    しかし、サーバー会社(さくら)から知らされて初めて知るということは阻止できます。
    すぐに対処すればSPAMは停止できますので、サーバー会社も忍耐してくれると思います。

    最近はロシア以外のヨーロッパ、特にイタリアからのアタックが激しいです。

    特定の国を拒否して、googleの検索エンジンには検索結果として
    表示させても、その特定の国の端末からは開けないということでしょうか。

    はい。そのとおりです。日本語のGoogleサイトも、海外のサーバーを使っているようですので、海外からのアクセスを一律に遮断すると、Googleの順位も下がります。
    そこで、主な検索ロボットには見せます。

    しかし、海外の人たちの端末からは見えないサイトになります。

    取り急ぎ補足でした。

    返信先: 不正アクセスがありました #82615
    fnetmasa
    参加者

    プラグイン無しのワードプレスだけで、簡単に乗っ取られることがあります。

    幾つか見てきました。

    ですので、WP自体に脆弱性がある、という前提で対策する必要があります。

    ご存知の情報かも知れませんが、ご参考までに書かせていただきます。

    わたしは、WPプラグインの「All In One WP Security」の機能である「scanner」を使って、ファイル改ざん時にメールで警告が来るように設定しています。
    正確には改ざんというよりも、相手は乗っ取りにつかうディレクトリとファイル一式を追加してきます。しかし、このscannerで不正侵入を検知できます。

    また、ほとんどが海外からのアタックですので、下記の対策を行っています。

    ・日本国内向けのWPサイトでは、日本からのみアクセス許可
     (ただしGoogle等検索エンジンには見せる)
     
    ・海外にも見せるサイトは下記3ファイルを海外からは遮断
      wp-cron.php
      xmlrpc.php
      wp-login.php

    参考サイト
    http://zuntan02.hateblo.jp/entry/20140523/1400837726
    https://www.tank-sakurai.com/wpsecurity/

    fnetmasa
    参加者

    この2日間同じSSLと非SSL混在問題と格闘して、こちらに来ました。

    結果、WELCARTの管理画面で「SSLを使用する」のチェックボックスを外すとOKでした。

    サイト全体をSSLにするときはWELCARTではSSLを使用しない。という設定のようです。

    チェックボックスのところに、注意書きがあれば助かります。

    リンクをクリックすると
    「SSLを利用する場合はチェックを付けてください。
    ただし、サイト全体を SSL 化する場合は、チェックを外してください。」

    とでてきますが、ベタに書いておいていただくのが良いと思います。

    ずいぶん多くの人がつまずいているようですので。

    参考サイト
    https://teratail.com/questions/28899
    の最後の投稿部分 です。

    • この返信は7年、 7ヶ月前にfnetmasaが編集しました。
    fnetmasa
    参加者

    ご返信ありがとうございました。

    無事に設定出来ました。ご教示いただき大変助かりました。

    FNETMASA

9件の投稿を表示中 - 1 - 9件目 (全9件中)