ジュゲ(zyuge)からお知らせ

スパマーのせいでWebサーバーを介してのメールを全サイトで制限されております。明日に解除することは可能なのですが、そもそも当サイトで使われることが無かった部分でもありますので、このまま制限状態を保持しようと思います。何せスパマーに悩まされることは2度と無くなりますので。何かありましたら　ゲストブック　の　ジュゲの庵　にて書き込んで下さい。( ｰ`дｰ´)ﾉ ｼｭﾀｯ　ま～問い合わせなんて無いからｗ

World of ジュゲのSSぶらり旅　は現在もトラフィックオーバーのアクセス制限中ですが、ココも元々しばらくは放置予定でしたので、そのままにする予定です。今年頭のWordPress問題から全サイトのテキスト情報は全てバックアップしておりますので、いよいよ面倒になったら　World of　は潰して統合させるつもりです。

今朝方からアクセス集中によりダウンしております。
これは仕様であり正常なサーバー対応です。
昨夜対策済ですので一両日中にでも復帰すると思われますが・・・果たして。

スパマー・ウォーズ最新作

2018/4/3　21：30～　4/4　4：30　にかけこのサイトを利用して大量にメールが送られるという事態に気づきました。丁度、病み上がりでしてメール等をろくすっぽチェックしていなかったため寝る直前まで気づかず。まさかここからド深夜までスパマーとの遙かなる戦い。スパマー・ウォーズ　スピンオフ作品がお届け出来ることになるとは。

ハックされた！？

自己環境に異常は無いので問題ないはず。
念のためにマスターパスワードから何から何まで全て変更する。
ログイン履歴やサイト更新履歴等からも、アカウントがハックされたわけでも、サイト内に何か勝手に埋め込まれたわけでも無さそう。となると・・

メールを盗まれた！？

ところがこのサーバーにはメルアドが２つしかない。共にデフォで自動生成されるもの。
全く利用していないのだ。そもそも外部へ一切公開もされていないアドレス。
１つは全くメールが溜まっていないが、もう１つは何故かメールが沢山未読で溜まっていた。
スパムである。
このパスワードも変更。ただ、受信は制限出来ても送信というのは制限出来ない。この時点で面が割れている（ネールサーバー等の内部データを知られている可能性がある）としたら、メールアカウントそのものを削除しない限りどうしようも出来ないと判断。どうせ使うつもりがないアドレスだったので削除する。ところが・・・

WordPressのウィジェットがガンだった

まだ終わらない！！深刻な問題を上流から対処していって最後に残ったのはWordPress。今年２度のエラーで面食らったのは記憶に新しいが、そもそも常に最新の状態を保っている。しかも即アップするとバグでサイトが止まる恐れもあるので（黒砂漠がそれで苦労した）わざわざ２日ぐらい遅れてアップさせるという始末ｗ　ところが・・・調べてみて、寧ろ最初からその可能性が最も高かったと判明。

厄介なのは、この問題は特定のウィジェットによるトラブルではなく。かなり広範囲なウィジェットで起きているようだ。フォーム系のウィジェットを悪用され大量に送信されるものや、外部のSNSアカウントと同期させる系統のもので、その入口からサイトそのものを乗っ取られ改ざん、仕込みまでされるものまでと実に広範囲である。

後半の案件なら最悪。ただファイルのアクセス更新履歴からすると改ざんの傾向は見られない。慌ててウィジェットを調べてみると・・・「あ・・・ｗ」まさかの更新していないウィジェットがたった１つだけポツンと。(；´∀｀)　しかもコイツが「フォームメール系ウィジェット」。これまでの公式＝安全はまるで当てにならない時代となったことを再確認する。黒砂漠のトラブル時もテーマを開発している公式アプデだった。

アプデをかまし、念のために停止させてみる。恐らくこれで間違いないだろう。ネットにはキャッシュがどうしても残るので１日か数日はキャッシュを通してやられるかもしれないが以後は大丈夫だろう。その関係もありスパマー・ウォーズでアクセスが集中しており止められている。（スパム業者のプログラムがアタックを繰り返していると思われる）そんな顛末です。

震撼WordPress

今回ターゲットされたのは、恐らくこういう流れだろう。ウィジェットに抜け穴を見つける。このテーマをつかっているサイトを絞る。このウィジェットを使っているサイトを更に絞る。（サイトには張り込んでいなかったが、有効化している以上、同じフォルダに必ずある）無作為にプログラムでアタックをかける。既に対策がとられたプログラムなら無効化されるが、とられていないサイトには数千、数万のメールが発信される。というカラクリではなかろうか。

今年頭からWordPressを利用することに疑問を感じつつあったが尚の事濃厚となる。こんなことなら高速で安全、それでいて簡素な無料ブログサービスであるBloggerの方がよくないだろうか？BloggerはGoogleフォトと同一のフォルダーを使っているので以前は上限１GBに達するとTHE ENDだったが、たしか仕様が変更になり、容量の小さいファイルならカウントされないんじゃなかったかな？んー・・・。

理想はいぜんから書いているように公式WordPressサイトでの運用だが、これはこれで容量の天井が結構低いので困る。何れにせよ、昨年記事にしたように　テーマ毎にサイトを分ける　という方式でWordPressを使うのはリスクが上がることは間違いない。３つぐらいに絞った方が現実的だろう。少なくとも放置がいかに危険であるか改めて実感した。