WordPressの固定ページで「パスワード保護」を設定すると、簡単にその記事や固定ページだけパスワード保護(参照時にパスワードの入力を要求し、正しいパスワードを入力した時にページを表示する)を設定できます。
この「パスワード保護」はWordPressのユーザーログイン機能を使っているのですが、利用時には2点ほど注意すべきことがあります。
●その1
WordPressの管理画面アクセス用にIP制限をかけていると、パスワード保護もその影響を受けます。つまり、不特定多数の人向けに「パスワード保護」機能を提供する場合は、「wp-login.phpへの特定IP以外からのアクセスは拒否!」のような設定をしてはいけないということです。
IP制限をした場合、Forbiddenというエラーになってしまいます。
●その2
固定ページ・記事のパスワード保護のクッキーの有効期限はデフォルトでで10日間です。
つまり、1度パスワードを入力すると、10日間はパスワードの再入力なしで閲覧できてしまいます。
パスワード有効期限を短くしたいときは、
functions.phpに
「
function custom_post_password_expires() {
return time() + HOUR_IN_SECONDS ;
}
add_filter('post_password_expires', 'custom_post_password_expires' );
」
を追加することで、このケースでは1時間後にパスワードを無効にできます。
ちなみに、有効期限のパリエーションは、
1分 MINUTE_IN_SECONDS
1時間 HOUR_IN_SECONDS
1日 DAY_IN_SECONDS
1週間 WEEK_IN_SECONDS
1年 YEAR_IN_SECONDS
です。
ぐっどらっこ。
そもそもパスワードは何のためにあるかと言うと、あなたがあなたであることを証明するための認証の要素の1つです。
IDと一緒に用いられることが多いと思います。
色々なサイトを利用していると、そのサイトごとにIDとパスワードを設定しなければならず、その数が多くなってくると、簡単に覚えられるものや、すべてのサイトで同じパスワードを使うようにしてしまうことをついやってしまいがちなのですが、そこにセキュリティ上のリスクが潜んでいます。
現在、適切なパスワードの設定・管理には、以下の3つの要素があるとされています。
総務省提供の「国民のための情報セキュリティサイト」より
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html
1.安全なパスワードの設定
2.パスワードの保管方法
3.パスワードを複数のサービスで使い回さない(定期的な変更は不要)
1については、名前や生年月日、辞書に載っている英単語、安易な文字列(123456など)をパスワードとして使ってはいけませんということです。
理想のパスワードとしては、アルファベットの大文字と小文字、数字、記号を組み合わせた10文字以上の文字列とすることがよいとされています(下述のNICTでは、8文字以上で、設定時に異なる文字種指定をサービス提供側が強制するべきではないとしていますが...)。アルファベットの文字列については日本語の単語をアルファベット表記したものを複数個組み合わせて使うのも良いかもしれません。
2については、パスワードを付箋紙に書いて貼っておくというのはもってのほか、他の人に漏れないようにきちんと保管しましょうということです。パスワードをメールやチャットで送るのも危険です。
3の「使い回し」については、冒頭でも書きましたようについついやってしまいがちですが、パスワードが悪意を持った人に漏れてしまうと、そのサイトだけなく他のサイトも簡単にログインされてしまうリスクが高まります。最近では、メールアドレスをログインIDとして利用するサービスが多くなってきましたが、例えばメールのパスワードをすべてのサイトで使いまわしていたとすると、そのメールパスワードが何らかの理由で外部に漏れてしまい、他のサイトも次々と不正にログインされてしまうというのはよく聞く話です。
怖いのは、「何らかの理由で外部に漏れてしまう」というその理由です。たとえば、サービスプロバイダー側で情報漏えいが発生した場合などは、自分でいくらきちんと管理していてもパスワード漏洩を防ぐことができません。2次3次の被害を防ぐためにも、パスワードの使い回しはやめておくべきなのです。
このパスワードのセキュリティに対する考え方は時代とともに変化しています。
技術だったり、その時点までの傾向分析だったりが理由で。
3に書いた「(定期的な変更は不要)」もその1つで、かつては定期的な変更が安全対策の1つと考えられていましたが、これまでのセキュリティインシデント(事故)の解析の結果などから、パスワードの定期的な変更はむしろリスクであるというガイドラインが、昨年、専門機関(NIST)から発表されたことを受けて、現在では、総務省でもこのような表現に変更しています。NISTは、ログインサービスを提供するサービスに向けても、定期的な変更を強制することはやめるべきという指針も出していますので、今後、各種のサービスでパスワードの定期的な変更を強制されることは少なくなるかもしれません。
DRAFT NIST Special Publication 800-63B(日本語翻訳版)の5.1.1.2のあたり
なお、このレポートには、サービス提供側に、パスワードに異なる文字種の組み合わせ要求すべきではないことや、パスワードを忘れた場合などに回復の手段としてよく使われる「パスワードヒント」の利用もやめるべきとしています。
現状では、サービス提供側のルールに従わなければならない部分も多いですが、上記の基本的な考えを理解して安全なパスワードの利用に努めましょう。
それから、この記事でも書きましたが、ウェブメールではなく、メールソフトでメールを利用する際は、暗号化された通信の仕組みを利用するようにすることも大切です。野良Wi-Fiの利用時など、思わぬところで通信内容を盗み見られてしまうときにパスワードが漏洩することを防ぐためにも。
ぐっどらっこ
Windows 10で、スタートボタンをクリックしても無反応だったり、スタートボタンは反応しても「設定」アイコンをクリックしても無反応だったりする場合は、以下のマイクロソフトのサイトから startmenu.diagcab 修復ツールをダウンロードして実行しましょう。
最初に、一般的な修復の手順を試します。
- スタートボタン(Windowロゴ)を右クリックし、「コマンドプロンプト(管理者)」または「Windows PowerShell(管理者)」を選択します。
- コマンドプロンプト画面に以下のコマンドを入力して Enter キーを押します。
dism /online /cleanup-image /restorehealth
- 次に以下のコマンドを入力して Enter キーを押します。
sfc /scannow
次に、
startmenu.diagcab (現在、リンク切れ)
201808追記:
「Windows10(1703)から(1803)へアップデート後、ドメインユーザアカウントでの"設定"(歯車マーク)が動作しない」を参照して試してみてください。また、下の★のページに記載されている。各バージョンごとのロールアッププログラムの適用も試してみてください。
をダウンロードして実行します。
この現象の詳細を知りたい方は↓こちら。
Microsoft Japan Windows Technology Support Windows 10 のスタート メニューについて ★
startmenu.diagcabツール実行時、罠がいくつかあります。
・ツールの初回実行時、いつまでたっても「タイルデータベースの修復」表示のままなことがある。→20分以上この表示のままなら、「キャンセル」をクリックして、その後も真っ黒画面のままならCtrl+Alt+DELで「サインアウト」で一度サインアウトしてサインインし直す。
・このツールを何度実行しても「タイルデータベースが壊れています 未解決」と表示されるが、実は問題が解決している場合がある。(スタートも反応するし、設定も表示される)
→気にしない。
参考:タイルデータベースの修復コマンド tdlrecover.exe -reregister -resetlayout -resetcache
ただし、このコマンドは1803以降では使えない(「操作可能なプログラムまたはバッチ ファイルとして認識されていません。」となる)
MSさんには、そもそもこんな現象が置きないようにしてほしいし、まともに動く修復ツールを作って欲しいし、日本人にもわかる日本語表記にして欲しい。
決して利用者目線で考えることのない、ほんとうにだめな会社。
ぐっどらっこ。
2018/05/25 特報!
6月21日から24日までの4日間、「上越市民プレミアム・デー」として先行公開するらしい。
上越市発行の広報誌、広報上越6月1日号に掲載される「先行入館券」を水族館のチケット売り場で提示すると、提示した人と同伴者が入館券を購入することができるとのこと。
先行公開の入場料は、公開時と同じで、安い料金で入れるわけではないとのこと。
ソース:来月オープン前に市民対象の先行公開実施 上越市の新水族博物館うみがたり(上越タウンジャーナル)
広報上越 http://www.city.joetsu.niigata.jp/site/koho-joetsu/
記事本文はここから...
オープンが近くなってきました。
2018年6月26日(火)グランドオープン!
上越市立水族博物館 うみがたり。
直江津水族館って呼びたい。
先日、入場料がが発表になったのですが、とても見にくいホームページで、探すのに一苦労。
まあ、もうすぐ、ちゃんとしたページに掲載されるのでしょうけれど。
2018.2.15
上越市立水族博物館 うみがたり」の営業時間・入館料が決定いたしました!年間パスポートの販売も決定しております♪
正式版が公開されました。
ご利用案内 http://www.umigatari.jp/joetsu/guide/
今どきの水族館なら入場料はこんなものなのでしょう。
オープンが楽しみです。
ぐっどらっこ。
3月のWindows Updateを適用すると、
・ログイン画面が出る場合はログインすると
・ログインなしの設定をしている場合は、自動的に再起動
を繰り返す現象が発生しています。
解決方法は、「システムの復元」、または、KB4088875の削除です。
1.システムの復元
以下のページを参考に、3月のWindows Update適用前の復元ポイントを選んで復元してみてください。復元機能をオフにしている人は、対策情報を待ちましょう。
Windows 7でWindows(OS)が起動しない状態からシステムの復元を行う方法(NEC LAVIE公式サイト)
https://121ware.com/qasearch/1007/app/servlet/relatedqa?QID=011923
2.KB4088875の削除
復元機能をオフにしている人は、セーフモードで起動してから、
KB4088875
というアップデートを
コンパネ→プログラムと機能→画面左の「インストールされた更新プログラムを表示」
からアンインストールしましょう。
ぐっどらっこ。
スマホでドコモメールを使っている人は、パソコンからもドコモメールの送受信ができます。
パソコンからドコモメールを使うには、
1.ThunderbirdやOutlookなどのメールソフトから使う
2.ブラウザを使う
の2通りの方法があります。
詳細はドコモ公式サイトの
その他のメールアプリからのご利用
に記載されていますので、そちらをご覧いただくとして、以下に、その内容を簡単に書きたいと思います。
1,2のいずれの場合も、
・dアカウントの取得(スマホを契約していればすでに持っている)
・dアカウント利用設定を有効にする
の2つの事前準備が必要です。
dアカウントは、以前は、docomo IDと呼ばれていたものです。
デフォルトのIDは電話番号、パスワードがわからない場合は、Wi-Fiをオフにしてから、
・「dメニュー」にアクセス
↓
・ページ最下部の「dアカウントについて」を選択
↓
「dアカウント管理へ」を選択
↓
「ID/パスワードの確認・ロック解除」を選択
にて確認できます。
参考までに、メールソフトへの設定内容を書いておきます。
IMAPでの利用になるので、パソコンでのメールの送受信、削除操作は、スマホに設定されているメールアプリの内容にも反映されますので便利です。(削除の場合は注意!)
うまくいかないときは「dアカウント」がロックされているのかもしれません。
上記の手順で解除しましょう。
●受信サーバ
IMAPサーバ iPhone、iPadに設定する場合 imap2.spmode.ne.jp
上記以外の端末に設定する場合(パソコンやAndroidTMなど) imap.spmode.ne.jp
ポート番号 993
セキュリティの種類 SSL(over SSL3.0)
認証方式 LOGINまたはAUTHENTICATE(LOGIN)
基本認証・基準と書かれている場合もあります
ユーザID dアカウントID
パスワード dアカウントのパスワード
もしくはIMAP専用パスワード
●送信サーバ
SMTPサーバ smtp.spmode.ne.jp
ポート番号 465
セキュリティの種類 SSL(over SSL3.0)
認証方式 AUTH-PLAINまたはAUTH LOGIN
ユーザID dアカウントID
パスワード dアカウントのパスワード
もしくはIMAP専用パスワード
パソコンでも素敵なドコモメールライフをお過ごしください。
ぐっどらっこ。
2018 MotoGPレースカレンダー
01 03月18日 カタール
02 04月08日 アルゼンチン
03 04月22日 アメリカズ
04 05月06日 スペイン
05 05月20日 フランス
06 06月03日 イタリア
07 07月17日 カタルーニャ
08 07月01日 TT・アッセン
09 07月15日 ドイツ
10 08月05日 チェコ
11 08月12日 オーストリア
12 08月26日 イギリス
13 09月09日 サンマリノ&リビエラ・ディ・リミニ
14 09月23日 アラゴン
15 10月07日 タイ
16 10月21日 日本
17 10月28日 オーストラリア
18 11月04日 マレーシア
19 11月18日 バレンシア
ぐっどらっこ。
2018 F1レースカレンダー
Rd.01 03月25日 オーストラリアGP
Rd.02 04月08日 バーレーンGP
Rd.03 04月15日 中国GP
Rd.04 04月29日 アゼルバイジャンGP
Rd.05 05月13日 スペインGP
Rd.06 05月27日 モナコGP
Rd.07 06月10日 カナダGP
Rd.08 06月24日 フランスGP
Rd.09 07月01日 オーストリアGP
Rd.10 07月08日 イギリスGP
Rd.11 07月22日 ドイツGP
Rd.12 07月29日 ハンガリーGP
Rd.13 08月26日 ベルギーGP
Rd.14 09月02日 イタリアGP
Rd.15 09月16日 シンガポールGP
Rd.16 09月30日 ロシアGP
Rd.17 10月07日 日本GP
Rd.18 10月21日 アメリカGP
Rd.19 10月28日 メキシコGP
Rd.20 11月11日 ブラジルGP
Rd.21 11月25日 アブダビGP
ぐっどらっこ。
世の中はGoogleさんのせいおかげで、見るだけのホームページにも常時SSL化の波が押し寄せてきています。
このブログは、
- さくらインターネットの共用レンタルサーバー
- CMSにMobableType
- SSL証明書にLet's Encrypt
で構成されているのですが、本日、常時SSL化というのを試してみました。
手順とやったことは以下のような感じです。
- SSL証明書の取得(Let's Encrypt)と有効化
- MTの管理画面をSSLに変更
- MTのサイトの「ツール」→「検索/置換」から、自サイトの
imgタグのsrcをhttpsに
CSS指定のhrefをhttpsに など
- 3にて、今度は、外部リソースでhttps化できるものはhttps化(Google、Youtube)
- アフィリエイト系のタグをhttpsにするとともに、各社のアフリエイト管理画面で登録サイトURLをhttpsに変更。AdSenseはサイト設定の変更は不要
- MTのサイトの「設定」で、公開パスのURLをhttpsに変更して、全再構築
- Wildfire Internet社のHTTP Checkerで、Mixed Contentなどをチェックし、つぶしていく
- SSLへの強制リダイレクト(これが常時SSLの真骨頂)をhtaccessに設定
- このあとGoogle Search Consoleでhttps用のプロパティを作り、Google Analyticsのもろもろの設定を変更
htaccessに追加したコードは↓な感じ。
SetEnvIf REDIRECT_HTTPS (.*) HTTPS=$1
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{ENV:HTTPS} !on
RewriteRule .* https://www.eripyon.com%{REQUEST_URI} [R=301,L]
</IfModule>
以上の作業(記事1000本)で4時間ほどかかりました。
ちなみに、facebookのいいねカウントはリセットされてしまいました。
ぐっどらっこ。