[重要] Movable Type 7 r.5401 / Movable Type 6.8.8 / Movable Type Premium 1.54 の提供開始(セキュリティアップデート)
ということで、アップデート作業完了。
毎回、MovableTypeのサポートサイトで、アップデート方法を確認しながら進めるのですが、そこには書いていない画像フォルダのコピーをいつも忘れるのであった(^^;
MovableType/CMS関連の最近の記事
MovableTypeからFacebookにシェアする際の画像を自分で設定できるようにしました。
こちら
[MovableType] 記事ごとにOGPを出力する
https://zenn.dev/sanasan/articles/f05c26bf1eb4ce
がとても参考になりました。ありがとうございます。
この記事をシェアすると下の画像が表示されるはず...されない場合、ブラウザをいったん終了させて、再度。
今日はカミさんの誕生日なのですが、
ーーーーーーーーーーーーーーーーーーーー
[重要] Movable Type 7 r.5005 / Movable Type 6.8.5 / Movable Type Premium 1.49 の提供を開始(セキュリティアップデート)
Movable Type で 2021/10/20 にリリースしたセキュリティアップデートにおける XMLRPC API への OS コマンドインジェクションの脆弱性への修正が不十分であることがわかりました。
脆弱性への対策として Movable Type 7 r.5005、Movable Type 6.8.5、Movable Type Premium および Movable Type Premium (Advanced Edition) 1.49 の提供を開始しました。
r.5003 / 6.8.3(2021/10/20 リリース)、r.5004 / 6.8.4(2021/12/1 リリース)も対象となります。
大変お手数となりますが、必ずご確認のうえ対応をお願いします。
ーーーーーーーーーーーーーーーーーーーー
との連絡が入り、このブログのアップデート・・・先ほど完了しました。
このブログのサーバーがメンテナンスで止まります。
2021/12/13 (月) 00:00 ~ 09:00
最大8時間程度止まる場合があるらしい。
この時間、ブログが表示されなくても、先日の乗っ取りなどではない(はず)です(^^;;;
2021/11/30、ブログが「403 Forbidden」となりました。
レンタルサーバー会社のサーバーメンテナンスはまだ先だったはずだけど・・・とのんびり構えていたら、ほどなくメールが。
ブログに使っているサーバーが踏み台にされまして、スパムメールが発信されていたようです。「403 Forbidden」はレンタルサーバー運営会社側の緊急対応で、サーバーが凍結されている状態だったのです。運営会社の対応には感謝です。
おそらくは、Movable TypeのOSコマンドインジェクションの脆弱性を突かれたものと思います。即刻アップデートしなかった油断です。情報セキュリティマネジメント試験合格者として、お恥ずかしい限りです。
サポートからの指示に従い、バックアップを取って、サーバー内のファイルをすべて消去、FTP等のパスワード変更、システムにアクセスしたことがあるPCをすべてセキュリティチェックを実行しました。
凍結は解除され、先ほど復旧し終わった次第。
今回、自分に起きたことを説明している記事を見つけました。
公益財団法人石川県産業創出支援機構(ISICO)
【重要】WEBサイト構築ソフト「MovableType」における緊急性の高い脆弱性について
https://www.isico.or.jp/site/itstation/r3mt.html
バックアップをとったディレクトリを確認すると、まさにここに書いてある「.FoxRSF-v1」「.FoxEx-v1」「xxxxx(ランダムな名前).php」「ランダム名なフォルダ(Fox-C等)」ありますあります。この「xxxxx(ランダムな名前).php」なんて100個くらい(苦笑)。
バックアップからこれらを削除してFTPし直すのはチェックしきれず不安なので、新たにMovable Type 7の最新版をアップロードして、
旧バージョンから Movable Type 7 へアップグレードする
https://www.movabletype.jp/documentation/mt7/installation/upgrade/upgrade/
の方法でインストールしました。
バックアップからコピーするファイルはこれで最小限で済みます。コピーするファイルのタイムスタンプは確認しました。
また、データベース上のデータが書き換えられている可能性もあるので、最初の再構築を行う前に、デザインテンプレートに変なものがないか確認しました。
今後は、Movable Typeのアップデート対応は迅速に行うとともに、FTPでディレクトリ内に怪しいファイルが出現していないかを定期的に確認しながら運用していきます。
今日は、ブログの
・https化(レンタルサーバーの無料SSLサービス)
・Movable Type 6 を Movable Type 7 に(個人無償版)
を行いました。
手間はかかりましたが、大きなトラブルもなく、ほっとしました(^^)
<メモ>
■旧バージョンから Movable Type 7 へアップグレードする
https://www.movabletype.jp/documentation/mt7/installation/upgrade/upgrade/
学び)フォルダのパーミッションを変更したことで安心せず、cgiのパーミッションも変更すること(^^;;
■フォルダ丸ごとSSL化
学び)https なのに、ブラウザに鍵マークが出ず、「このサイトへの接続は保護されていません」と表示される場合は、画像のURLを疑うこと。
学び)Movable Type に検索・置換機能があって良かった。
このサイト全体は、複数のブログとウェブページで構成されていますが、それぞれのブログを更新(再構築)した際に、全体にかかわるウェブページは更新(再構築)されません。
その結果、「【つぶやき】」「About」といった全体のウェブページのほうの「最新の記事」が古いまま・・・。それぞれブログを更新するたびにこちらも再構築しなければ反映されません。
ということで、メモ:
再構築トリガーの設定
https://www.movabletype.jp/documentation/mt5/design/multiblog/#trigger
・・・設定したのに、うまくいかない(^^;
ひとまず、メモとして残します。
追記:
・インデックステンプレートは更新されるけど、アーカイブテンプレートは更新されない・・・ようである。
cssファイルを書き換えて、ページを確認しても反映されてない・・・リロードしてもダメ・・・cssファイルをブラウザで表示してみると古いまま、そこでリロードすると更新され、ページのほうもようやく正しく認識してくれる・・・
ということがcssを修正するたびにあり、自分だけならブラウザのキャッシュを毎回更新する手もあるけど、見に来てくださる方はどうするんだ・・・ということで、何か良い方法があるはずと検索してみると、
Webpark
サイトのデザイン変更が反映されない時のスーパリロードとキャッシュさせない方法
や
Qiita
CSSのキャッシュが残ってしまい、レイアウトが崩れてしまう問題を解決する(MT&WP)
が見つかりました。
ブログをここに引っ越してから、あちこちのサイトを参考にMovable Typeのテンプレートをいじりはじめました。
The blog of H.Fujimoto 「ブログ一覧の並べ替え」
を使わせていただいて、サイドバーの「ブログ」の順番を変えられるようになりました。
また、
かたつむりくんのWWW 「親ウェブサイトのモジュールを使ってブログ一覧のグローバルナビゲーションを作る」
を使わせていただいて、ページの上にあるナビゲーションバー(HomeからAboutまで)に配下のブログを追加し、ページとブログで共通化できました。
さらに2つを組み合わせて、ナビゲーションバーのブログの左からの順番とサイドバーの「ブログ」の順番が同じになるようにしました。
しかし、そのままではブログにいるときにナビゲーションバーが変化(今だと背景色は白くなり小さな▲が付く)しない・・・こうすればいいんじゃないか? うまくいかない、あーでもないこーでもない・・・とさんざん試したあげく、結局、最初の考え方で良かったという・・・うまくいかなかったのは必要な1行が抜けていたのでした(笑)
楽しいなぁ(^^)
テンプレートの形じゃなく、直接リンクを書いちゃえば楽に同じことができるのですが、それではあまり面白くありません(^^;
また、もっと楽に実現できる方法もあるのだと思いますが、そこは少しずつ。
