WordPress 4.4 の「すべてを埋め込む」の話。

View Comments

• o6asanさん　こんにちは。

  お題とは違うお話でごめんなさい。

  既にご存じとは思いますけれど・・・
  はやぶさ２君のスイングバイ実行後の軌道は正常であると発表されたことを只今ラジオで聴きました。

  よかったですね。ホッ！。（笑）

  • FHさん，こんにちは。

    わっ，ありがとうございます。知りませんでした。
    今日は朝から出かけていて，テレビ・ラジオはもちろん，ネットも触れなかったものですから。今，帰ってきたところです。

    FHさんのコメントを拝見してから， JAXA を確認したら，プレスリリースが出てました。 ☞ 「小惑星探査機「はやぶさ2」の地球スイングバイ実施結果について」というのです。
    この間お知らせした URL ではなく， Twitter の方に出てました。最近はやはり Twitter を確認しないといけませんね。

    でも，ほんと，良かったです。ホッ。

• おはようございます。

  あなるほど、これが4.4の新機能になるんですか
  embedタグなんかあるんですね。年末年始に暇な時色々やってみよう。

  さて、CentOS7.2が来てバージョンアップしました。
  今のところ問題なしです。このまま何もなければ新年をむかえられます。

  • くりくりさん，こんばんは。

    embed ショートコード自体はそう新しいものでもないようです。 WordPress の開発のほうでは， oEmbed のプロバイダーの機能を，そっくり， include するつもりらしいですね。 endpoint も設定できるらしいですが，今一，使い方が分からないのと，ユーザが私一人で，どのくらいメリットがあるのかもわからなくて，いまだ未着手です。

    それから， URL を 1 行貼っただけで，動画もレスポンシブになるのが，すごいと思いました。

    ところで， Apache 2.4.18 が来てまして，先ほどアップデートしました。ちょっと忘れ物をしたので，しばらく見えるエラーが出ていたと思います（汗）。 Apache の mod_http2 ，どんどん進化してますね。 Server Push のディレクティブも使えるようになったみたいです。まだ，試してませんが。

    簡単に目に付くところでは， log にきっちり HTTP/2 が記録されるようになりました。

• 今晩は
  chagelogをみるとこりゃすごい2.4.18はmod_http2のためのバージョンアップという感じですね。
  色々実装されてきてる。googleのクローラが対応といい。
  王者apacheが本気をだしてきてるのかも？
  早くCentOSが実装してくれれば会社のnginxをやめちゃうんだけどなー。
  o6asanさんの検証を正座して待ってます（ｗ

  • くりくりさん，こんばんは。

    > o6asanさんの検証を正座して待ってます（ｗ
    ワハハ。いつなるかわかりませんので，足がしびれちゃいますよ。

    WordPress の「すべてを埋め込む」もですが，新しいものは，なかなか理解がはかどりません。

    今，またもや， RewriteRule でハマってるとこです。 HTTP/0.9 と HTTP/1.0 を拒否ってやろうと思いましたら， BulletProof Security プラグインと折り合いが悪くって。

    それに，師走ですしね。いずこも同じ年末の忙しさですワ。忙しいと，いろいろ余計なことをやりたくなる性格の私ではありますが……。
    お互い，体に気を付けて乗り切りましょう。

• おはようございます。

  もうなんもないだろうなとおもったら、bindの脆弱性。
  今パッケージのアップデータが終りました。
  もう何もなければいいですけどねー。

  > HTTP/0.9 と HTTP/1.0
  1.0のログはたまにみますが0.9なんてあるんですかね？

  >体に気を付けて乗り切りましょう
  体がつかれているので、今日はちょっとマッサージにいこうとおもいます。
  次はクリスマスの攻撃に備えないと・・・。

  • くりくりさん，こんにちは。

    > 1.0のログはたまにみますが0.9なんてあるんですかね？
    私もログでは見たことないのですが， HTTP の仕様では一番初めに規定されたもののようです。

    今回， HTTP/1.0 を拒否しようと RewriteRule の書き方をググっていたら，こんな記事を見かけまして，更に調べたら，こんなのがありました。後者の Wiki の日付はまだ新しいようですし，その中に「いまだに広く実装されている」という記述があったので， HTTP/0.9 も締め出せる RewriteRule を書いたほうがいいのかなと思いました。忘れられたレガシーなものをマルウェアで悪用するというのは，よくある話ですもんね。

    で， HTTP/1.0 の拒否は， RewriteCond %{THE_REQUEST} !HTTP/1\.1$ みたいな書き方が多いんですが，これだと当然 HTTP/2 も締め出されるので困ります。それに HTTP/2 もどう変わるかなというところもまだありそうな気がして， HTTP/1.1 より以前を拒否することを狙いました。こんな感じです。 RewriteCond %{THE_REQUEST} ^HTTP/(0\.9|1\.0)$
    ところが， wp-cron.php が 1.0 を使ってて，ここで 500 error が頻発しています。 500 error の頻発はこのカスタムコードとBulletProof Security プラグインのどちらかを止めればよくなりますが，どちらも止めたくないわけです。今のところビジターの閲覧には大きな影響はないので，カスタムコードは入れたまま，詳しい原因を探っています。どこかで何かまずいことを書いているはずなので。 Rewrite 関連のまずいことは，セキュリティホールになる可能性が十分あり得ます（汗）。

    しかし，なんだって， wp-cron.php は今時 1.0 を使っているんですかね。しかも，これに対して 500 error が出ているにもかかわらず， core のアップデートとかは，ちゃんと来てるんで，この 1.0 の POST はなくてもかまわないのではないかと思うのですが……？？？ wp-cron.php を disabled にする方法はネットでかなりあるのですが， HTTP/1.0 を変えるとかいうのは今のところ見つけていません。 cron 関係は， LINUX でも 1.0 を使っているんですか？ CentOS7.2 ではどうでしょうか？

    > 次はクリスマスの攻撃に備えないと・・・。
    はい，年末から年始の波状攻撃，怖いですね。こんなのを読むと，気が引き締まります。 ☞ 「もう対処は終わりました」、のはずが残っているマルウエア

• こんにちは

  ＞cron 関係は， LINUX でも 1.0 を使っているんですか？ CentOS7.2 ではどうでしょうか？

  cronは常駐プログラムです。windowsでいうタスクマネジャー。定期的にシェルスクリプトを読んでシェルを通じてサーバーになかをやらせるだけです。中にはphpとかperlとかもありますが

  >なんだって， wp-cron.php は今時 1.0 を使っているんですかね。

  2.7.0からネット経由のhttp1.0になったみたいです。
  それまではソケットを通じてやっていたみたいですが
  エラーの連発だったみたいです。

  俺も同じような問題でnginxからapacheのやりとりをソケットで動かしたいんですよねｗ

  http/2ならまだしもhttp1.1でやりとりしてます。

  • くりくりさん，こんにちは。

    > cronは常駐プログラムです。windowsでいうタスクマネジャー。
    あっ，そうですよね。私の大いなる勘違い。 wp-cron.php を見ると，実際の cron 動作をやる php スクリプトを呼び出しているようです。 ところで， LINUX 上の Apache のログでも wp-cron.php の POST のときのヘッダーは， HTTP/1.0 なんですか。

    > 2.7.0からネット経由のhttp1.0になったみたいです。
    これはわかるのですが，どうして， HTTP/1.1 ではいけないのでしょうか。 HTTP/1.1 では何かまずいのですか？うちの wp-cron.php の HEADER を HTTP/1.1 に変えることはできないのでしょうか。質問ばかりですが，そこのところを悩んでます。

• o6asanさんのところでは、IEでもMP4がエラーにはなりませんね。テーマに寄るのか？
  うちではPHP5.3でも、7でも同じエラー症状がでます。WPは、4.4
  MP4の作り方かなと思って、CIMG4828.mp4をコピーさせていただいて載せてみましたが、やはりエラーが出ます。ファィル容量の大きさとも関係しないようです。

  • りりさん，こんにちは。

    > テーマに寄るのか？
    テーマは大いに関係します。 WordPress4.4 の機能を十分引き出すためには， HTML5 対応のテーマが必要です。 HTML5 対応と謳っていても，実はしっかり HTML5 になっていないなどというテーマもありますから，テストの間は， twentysixteen でやったほうがいいと思います。それでうまく動いてから，自分の好きなテーマに変えればいいのじゃないでしょうか。

• こんにちは

  とりあえず思いつただけ試してみました。
  phpをすべてphp-fpmのソケットで動かせばと思い
  試しましたがhttp1.0でログ出力されますね。

  次はphp側でSERVER_PROTOCOLの変数をかえることができればと色々やってみましたがむりだした。

  その次はwp関数ならと探しましたが特にないですね。
  https://wpdocs.osdn.jp/%E9%96%A2%E6%95%B0%E3%83%AA%E3%83%95%E3%82%A1%E3%83%AC%E3%83%B3%E3%82%B9#HTTP_API_.E9.96.A2.E6.95.B0

  どうもphpかなんかで色々やってみるしかなさそうですね。
  phpの関数あたりでありそうなきがしますけど

  • くりくりさん，こんばんは。

    すみません，お忙しいのに，いろいろやっていただいて。ありがとうございます。

    HTTP/1.0 については，ついにわかりませんで，ギブアップです。関連ありそうな記述が， core の http.php とか load.php とかにあったんですが，その辺りを弄っても何も変化なしでした。

    で，アプローチを変えました。 Rewrite の方から色んなキーワードで探してみたんですが，「AH00122: .htaccess rewrite」で検索したときにヒットした mod_rewrite: Error whilst rewriting subdomain to directory via %{HTTP_HOST} の図の説明がドンピシャリでした。おかげさまで， HTTP/1.1 未満の拒否がうまくいき始めたようです。当然 wp-cron.php も弾くことになるのですが，先の RewriteRule で wp-cron.php に 500 エラーが出ていたにもかかわらず， 4.4 のアップグレードやプラグインのアップデートは正常に来ていたので，その辺りは問題なかろうと思います。思うに， HTTP/1.1 とかでの動作もやってるんじゃないですかね， wp-cron.php。

    今回の件については，忘れないように，少し遅れても記事にしておくつもりです。

    再度，ありがとうございました。本題は片付きましたが，wp-cron.php の POST 時ヘッダーの HTTP/1.0 の理由探索は，懸案になりました。

  • こんばんは。こんな時間に追記です（汗）。

    テストサーバでうまくいったので，バンザーイと思って， Rewrite を書き換えておいたのですが，さっき，やっと本サーバのログを見る時間ができたので覗いたら，まだエラーが出てます。テストサーバだと， WordPress ROOT の .htaccess 上の記述は， HTTP/1.0 関連だけなのですが，本サーバのものは，ほかにもいろいろ条件があるので，そのせいでしょうか。参りました。

• こんにちは

  >お忙しいのに，いろいろやっていただいて。ありがとうございます。
  いえいえ、こちらこそいつも相談に乗っていただきありがとうございます。

  php7.0.1がでてましたね。
  さっそくバージョンアップしました。しかし、gmoクラウドの専用サーバーが
  一部パッケージのバージョンアップをとめてるため
  依存性の関係上php-fpmがはいりませんでした。
  もっともphp-fpmはwpのレイアウトがくずれるのでつかっていませんでしたが
  使えないのは残念です。
  まぁmod_phpと処理能力はかわらないのでそれほどおちこんでいません。

  >まだエラーが出てます。

  折角解決したとおもったんですが
  残念ですな。

  wp-cronで動いてるものを調べて無効化し下記を

  wp_scheduled_delete
  wp_scheduled_auto_draft_delete
  sm_ping_daily
  wp_version_check
  wp_update_themes
  wp_update_plugins
  akismet_scheduled_delete
  wp_maybe_auto_update
  sm_ping_daily

  phpコマンドで実行できるかどうかためしてみたんですが
  なかなかうまくいきません。
  ネットで調べるとコードがすぐみつかるものみつからないものがあるので大変です。
  後は回避する方法は思いつきません。

  • くりくりさん，こんばんは。

    7.0.1 ， Win 版も出てました。まだ，アップデートしてません。

    本当に，ありがとうございます。 wp-cron.php を disabled にする気はあまりないので，しばらく code をコメントアウトして，いろいろ調べてエラーに地道に取り組んでみます。

    ところで，こんな記事を読みまして，気になっていますが，くりくりさんのところ（会社）には関係ありませんか？表題は　Joomla になってますが， Joomla だけのことではなく CVE-2015-6835 関連の話のようです。 ☞ Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因

• こんばんは

  CVE-2015-6835はとりあえず様子見。
  影響を受けるのはCentOS5と5がベースplesk11のphp5.3.3です。

  CentOS5の方はred hatが修正パッケージを待ちますよ。
  問題が大きくなるようでしたら、php5.5の方に乗り換えます。

  plesk11は製造元からマイクロアップデータで勝手にアップデータするしトラブルがあるようでしたらレンタルサーバーが勝手にやってくれるので相手に任せます。

  追記、気休めかもしれませんが、ipを一応遮断しておきます。
  http://www.security-next.com/065215

  • くりくりさん，こんばんは。

    いよいよ，年も押し詰まってきましたね。休み前に総点検しておかないといけないのでしょうが，なかなか，思うようにいきません。

    PHP7.0.1 へのアップデートは，一昨日の夜中にやりました。
    > 追記、気休めかもしれませんが、ipを一応遮断しておきます。
    の関連は，あまり出てきませんね。まあ，元が古い脆弱性ですし，セキュリティに関心の強いところなら， PHP も新しくなっているでしょうから，反応が少ないのは当然かもしれません。

    Rewrite のほうは，まだ手こずっています。どういうアプローチで解決するか？また変えるかもしれません。

    ところで， IE の関連でこういうのがありましたよね。私は，最新版しか使わないので，ほぼ，無関係なのですが，一般的には，結構大きな問題ではないかと思います。 TODOS ででも書き込みをしておいたほうがいいんでしょうかねぇ？年明け早々の話ですから，やはり，年内に対応しておいたほうが，いいのではないですかねぇ。

• おはようございます。

  apache2.4.でhttp/2をやっているんですが、なかなかうまくいきません。一気に会社にバージョン2を導入と思ったんですがまだまだ・・・。

  >どういうアプローチで解決するか？
  長期戦になるかもしれませんが、色々やってみるしかないですね。

  >ieの問題。
  うちのほうはあんまり影響ないんで簡単に告知するだけですが、ie8じゃないと対応してないサイトもあるらしく古いバージョンをつかわなくてはいけないとかtodosで読んだような？その辺の影響がかなりでかいと思ういます。

  >TODOS ででも書き込みをしておいたほうがいいんでしょうかねぇ？

  ieは結構脆弱性がでていますし書いた方がいいかなと思います。そのまま使ってる方が多そう。

  http://www.ipa.go.jp/security/ciadr/vul/20151215-IEsupport.html

  追記、この間のphp脆弱性が記事になりました。
  http://www.security-next.com/065467
  まだ対応を決めかねています。

  • くりくりさん，こんばんは。

    一昨日は冬至でしたがカボチャも食べず，今日はイヴですがケーキも食べずです。なんかあったか過ぎて気分が出ません―溜息。

    > ieは結構脆弱性がでていますし書いた方がいいかなと思います。
    TODOS に書いてきました。くりくりさんも書き込みいただいたようでありがとうございます。

    > まだ対応を決めかねています。
    仕事がらみだと対応が難しいこともあるんでしょうね。くりくりさんが管理しているサーバなのに古いままということは，もともと，新しいのが使えない事情があって，古いままになっているんでしょうからねぇ。