Tips

目立つ Win PowerShell の脆弱性

年末や夏休み(6月や5月もですが。)になると、稼働させているあるセキュリティソフトに引っかかってくる、”こんな攻撃あったよ”報告=つまりログ。
今年も増え始めた感があります。
そこで参考記事)
Windows標準搭載のコマンドライン「PowerShell」がセキュリティリスクに?
https://ascii.jp/elem/000/004/041/4041905/

もちろん、PowerShell狙いが入り込むのをなるべく遠く(外側)でブロックするのが一番ですが、主に
・ADを使ったもの
・(開き直ってWin以外のアーキテクチャ、ソフト/アプリで。)何らかのガードを複数張る
・(それ以前の対策として)メールをデスクトップで使わない、SNS使用頻度を下げる
ことをお勧めしています。

クルマや自転車のダブルロックや、”いっそ使わない(最強。/笑)” という対策に似ているかもしれません。
因みに、私は”愚”の付く製品群をどのアーキテクチャでも可能な限り無効可しています。

Memo, Tips

小さな サイトメンテナンスマニュアル

昨年のことですが、小さな小さなサイトメンテナンスマニュアルを発行するようになりました。設定の備忘録としても活用いただけます。

サイズ:A4の8分の1
内容:WPメンテナンスログイン情報(PSW以外)、各種セキュリティ設定、プラグイン構成と理由、WP各種設定内容と理由、変更不可な部分の明示、
ユーザ構成と権限階層、投稿/承認の設定、
外観=テーマ名, 追加CSSの内容と理由、ウィジェット設定、
サイト構成と各ページ概要、リンク構成、などなど。

これ、レシピブックなどで採用することが多い冊子アイテムと同じカタチです。
小さいので、引き出しのロック可能な場所に入れて、なんだか安心。
持ち歩きにも便利ですが、買い物に持っていくのはちょっと避けたほうが良いかもしれません。落としたらタイヘンです。。。

Tips

ギャラリー作成 \ Gutenbergおさらい

作るトキしか覚えていないギャラリー設定をまとめてみました。
2017年ごろ頻発したプラグイン間の競合は減った気がします。

1.スライドショー(JetPack)の例 ブロック設定:画像サイズ中、ポップアップなし。別タブで開く必要あり。画像説明のリンクはエディタ上で正常動作→本表示では消し線になってしまった。バグか?リンクを使わなければOKですが。

2.JetPackのタイルギャラリー ブロック設定のリンク先を メディアファイルに。準備としてJetPack-執筆-メディアでカルーセルON、EXIF表示はOFF。EXIFは 設定-メディア設定内の画像 ギャラリーカルーセル でもOFF設定要。

3.ベーシックなギャラリー Gutenberg標準。ブロック設定での 画像の切り抜きはON(デフォルト)、リンク先はメディアファイル。内部動作はJetPack側制御か?

4.FooGalleryの例…モト画像は4000pix…重いです。せめてヨコ600ぐらいで。Simple Portfolio利用。以前はプラグイン競合等、面倒もあったツール。今も種類違いのギャラリー前のブロックに設置すると、下のギャラリーがFooBox動作してしまう。
作成済みギャラリーはブロックエディタになって組み込みはラクになりました。
※下記、9月中限定。流用厳禁

Tips

検索エンジンとオプションの話

これはブラウザの話から始める必要が。現在、世にいうくろぉむやえっじ(笑)を私は使っていません。更に検索エンジンもGやBのつくとこやYのつくとこ(笑)は個人では使っていません。(顧客のSEO状況調査などでは使います。)

なぜか?、以前下記で少し触れた 検索・SEOノイズ が関係しています。
いやぁ、それは?という技術記事の増加

諸統計や記事・動向調査や査読を行う事も多いため、メジャーな検索エンジンが”使えなくなった”、と感じたのは10年ほど前。それが目も当てられないありさま 特に顕著になったのはここ4、5年のこと。
調べものの邪魔になるのはアフィリ系記事、まとめサイト、ペラ1系使い捨てサイト等。もう1つ大きく影響するのは、検索サイトが重視するステークホルダに有用な記事が上位になってしまうこと。

メジャーな検索エンジンでは、あれれ?これじゃプロパガンダになっちゃわない?と思うこともしばしば。わざと4ページ目以降から見る、という事も。

最初は検索オプションで “-取り除きたいワード”、等とやっていたのですが、それではもう間に合わず。今は各検索オプションを日本語変換-単語登録 に割り当てて(笑)時間を節約する日々、です。

参考)
できる人のGoogle検索テクニック
https://atmarkit.itmedia.co.jp/ait/articles/1708/25/news022.html
できるできないというより、検索ノイズが死活問題化しそうなので。この記事がなぜWindows Insiderにあるの?とツッコミ たくもなりますが。

複雑なものでなければ プラス、マイナス、or、等は他の検索エンジンでも使えます。

ブラウザに関しては下記が参考になります。広告ブロックと併用がお勧め。
Chromeはランク外? 安全で信頼できるベストなブラウザ4選
https://www.lifehacker.jp/2019/08/the-best-privacy-and-security-focused-web-browsers.html

検索エンジン、民放のTV放送みたいになったなーCM同時放送だし、とヘキエキしないために。Brave等はNoteに使用感の記事があったので、”中立的な検索エンジン” で探してみてください。

Tips

いやぁ、それは?という技術記事の増加

ここ数か月、個人のお客様のサイトをリニューアル、SSL化対応(もぅ待ったナシ!)が続いた時期に思ったのは、

いやぁ、それはマズぃっしょ!?、という技術記事(主にSEO目当てブログ系)。増えています。例を挙げると、

  • “WPでプレビュー権限なしのエラーの場合、一般設定のサイトとWPアドレスを一緒にしましょう” ?!
    → Top以外にWPインストールの場合、破壊(管理画面アクセス不可など)につながります。WP内部の動き(設定変更でどこに書き込んでいるか、等。)を想像できない方にこの対処説明はキケン。
    →むしろ複数ユーザで同じ記事にアクセス?の可能性、上記設定の変更後に再ログインしていないケースを疑うほうが。
  • WAFの設定変更記事
    →変更による危険性についての説明がナイことが多く、あちこちで”超”トラぶっています。脆弱性に繋がらなければいいのですが。もぅ障害の知らせも聞き飽き、です。
  • これもアレもできちゃうよーん、的なCSS(映え系??)の記事
    →見た目は良いのですが下位互換維持に触れておらず。コレ見て変更したら見えないんですけど?、というQA増加中。上記2つに比べて影響は少ないのですが、ドラえもん見て高いトコから飛び降りてみた。→ケガした(痛!)っぽい展開。

挙げ始めるとキリが無いのでこのぐらいに。
また別の記事で書きますが、昨今の”SEO”検索ノイズ。技術記事を読む際はご注意を。
お勧めの対策として、
“{書いてある記事のキーワード}” 空白 ”{障害}”、”{書いてある記事のキーワード}” 空白 ”{復旧}”など、敢えてネガティブな言葉を入れて検索してみると良いと思います。通常のキーワード以外に”マジで”、”ぶっちゃけ”、”大嘘”なども。(笑)