TEL MAIL

セキュリティ SECURITY

  • Plesk Onyx から Obsidian にアップグレードしてみた

    ホスティングサービス

    先月リリースされた Plesk Obsidian(プレスク オブシディアン)ですが、機能面も使い勝手もそれなりに向上しているようですね。 機能面で大きいのが、メールサーバの SSL 証明書がSNI(エスエヌアイ) に対応していること。 これによってウェブサーバのサーバ証明書の設定と同じように、メールサーバにも SSL サーバ証明書が簡単に設定できるようになってます。(しかも無料の証明書も・・・) 使い勝手の部分でいうと、先日 Plesk の中の人も(Facebook か twitterで)つぶやいていた「Advanced Monitoring」ではないでしょうか。 リソースの消費推移が一目でわかるようになり、アラートもあげてくれます。(メールや Slack と連携がとれるともっといいですね) ということで、今後の開発にも期待がもてる Plesk ではありますが、その一歩手前で気になるのが 旧バージョンからのアップグレード。 スタークホスティングのチームでも日々様々な検証を行っておりますが、今回このアップグレードですぐに出てきた問題が Webmail におけるフォルダ名の文字化け。 Courier-IMAP(クーリエアイマップ) の仕様変更のため、imapフォルダの文字コードが変わってしまっているようです。 もちろん回避策はいろいろあるようですが、まだまだどこに罠が仕掛けられているか分かりません。 そういったリスクも考慮しつつ、Onyx(オニキス) から Obsidian(オブシディアン)へのアップグレード検証を行っていきたいと思います。 ・・・とその前に、Plesk のトップ画面を確認すると、 なんと 340 ものアップデートが。 先ずは、ここからちゃんと更新していきます。 こんなにためずに、日ごろからちゃんとしておくことが重要ですよね。 さて、この時間を利用し、リスクヘッジの環境をつくっていきます。 たとえば、バックアップがついていたり、オプションで選択できるサービスプランならバックアップをとっておけば良いのですが、格安サービスなどを利用しているとバックアップオプションそのものがないものもあります。 そんな時にも役立つのが Plesk マイグレーションツールです。 新しい VPS をサクッとつくり、ウェブインストーラーでPleskをインストール。 マイグレーションツールを使い、VPS をまるっとコピーします。 本当に便利な機能です。 今回は、phpバージョンの相違とスパムフィルタのアプリが入っていないという点で、黄色い「!」マークが表示されてしまいましたが、phpの古いバージョンとスパムフィルターをインストールして「再同期」をクリックしていくと、ごらんのとおり問題ない結果となりました。 これをバックアップとして。 さらに、ここでのマイグレーション先の Plesk がすでに Obsidian なので、各サイトも問題なく稼働していることを確認し、ダブルの安心感を抱きつついよいよ本番のアップグレードに入ります。 Obsidian へのアップグレードは、「ツールと設定」の「アップデートとアップグレード」から。 クリックすると、別タブでおなじみの画面が開きます。 ただし、今回は「コンポ―ネントを追加」ではなく、「製品のインストールまたはアップグレード」です。 Obsidian が選択されていることを確認して「続ける」をクリック この画面がしばらく表示され Obsidian へのアップグレードがはじまります。 無事完了です。 一通り Plesk を眺めてみると、、、 冒頭で話題に出たアレがありません。 でも、安心してください。拡張画面からインストールできます。 Plesk Extensions(プレスク クステンション)同様に、「無料インストール」ボタンから簡単にインストールすることができます。 インストールされると、すぐにモニタリングがはじまります。 いや~ Plesk ってほんとうにいいもんですね~

  • いろんな場面で活用できる Nextcloud を試してみた。

    ホスティングサービス

    Nextcloud(ネクストクラウド) は、DropboxやGoogle Driveのようなオンラインストレージを構築できるオープンソースソフトウェアです。 インターネット上でデータを保存し共有したり、スマートフォンの写真やパソコンのファイルのバックアップ、共同作業などにもとても便利です。 この Nextcloud が、Plesk Extensions(プレスク エクステンション)に入っています。 もちろんインストールも簡単です。 拡張メニューで Nextcloud を検索するとすぐに見つかります。 「無料インストール」をクリックするとすぐにインストールが始まります。 完了するとこの画面が表示されるので、「開く」をクリックします。 この画面の「install」をクリックし、 対象ドメインと admin のパスワードを設定します。 すぐにインストールがはじまり、 この画面に移行します。 さて、せっかくなのでスマートフォンでも設定してみます。 Nextcloud のアプリを検索して、インストールします。 ログインをクリックし、URL(ドメイン名/nextcloud)とログイン情報を入力します。 設定画面から、「自動アップロード」の「写真の自動アップロード」を ON にしておくと、スマートフォンに保存されている写真データがすべて自動的にバックアップされます。 下の画像の通り、記事を作成するためのスマートフォンの画面キャプチャーもちゃんとサーバ側に同期されています。 (記事の作成も楽になります ^^) また、データのバックアップや共有だけではなく、カレンダーやタスク管理など、ビジネスの様々なシーンに活用できる数々のアプリも「アプリハンドル」の中に用意されています。 大きな添付ファイル付きのメールを同じサーバ内のたくさんのアドレスに送信すると、かなりのディスク容量が使われてしまいますよね。 共有ストレージを活用すれば、たったひとつのデータだけですみますし、期限やパスワードでセキュアな管理も可能になります。 Plesk を使えば、ウェブサーバやメールサーバだけではなく、ビジネスに活用できるこういったツールも活用できるようになります。 ご存知の通り、サーバ環境が変わり、移行を余儀なくされる場合においても、マイグレーションツールを使えば簡単に移行することもできますよね。 (ん?マイグレーションツールで移行できるのかなぁ? ウェブディレクトリ直下のデータフォルダだけなので大丈夫な気はしますが、今度検証してみましょう ^^) 最近、外のサービス系企業も、統合やら方針変更やらでサービスの提供を中止するところもあるようですので、将来的な数多くのリスクに備えるためにも、今後の運用をどうするか、ちゃんと考えていかないといけないですね。 もちろん、わたしどもはどんな相談にものりますので、 そんな時はお気軽にご連絡ください。

  • Plesk Advisor 機能 ファイアウォール編

    セキュリティ

    Plesk(プレスク)の Advisor(アドバイザー)機能をご存知ですか? Plesk の画面右上にある この機能です。 クリックすると、、、 「注意が必要です」「最低です」などの酷評の言葉が並びます。 ここにリストされたもののひとつに「Plesk ファイアウォールを構成」とありますが、Plesk Extensions(拡張カタログ)で検索しても出てこなかったので、Advisor 機能から直接「インストール」ボタンをクリックしてみます。 別窓が開き・・・あ、なるほど。 インストールはこちらからになるのですね。 コンポーネントの追加を開き、Plesk extensions の+ボタンをクリックして、Plesk Firewall のプルダウンで「インストール」を選択。 左下の「続ける」ボタンをクリック。 完了したら「OK」ボタンをクリックして、元の画面を表示させます。 元の画面が表示されたら✕ボタンで閉じて、Plesk Advisor 機能に戻ります。 「Plesk ファイアウォールを構成」の右のボタンが「アクティブ化」に変わってます。 これをクリック。 リストから外れ、「最近導入した主な推奨事項」に移りました。 赤い!マークも、緑のチェックマークに変わっていますね。 「開く」をクリックして設定内容を見るとこんな感じ。 必ように応じて、カスタマイズもできますね。 ルールの追加もできます。

  • Plesk から操作できる Cloud Linux の LVE Manager を試してみた!

    ホスティングサービス

    LVE Manager とは、Cloud Linux 上で管理されるバーチャルドメイン毎に CPU や IO、メモリ、iノード、プロセス数などのリソースを細かく制御できるコントロールパネルです。 Plesk(プレスク)をサービスの顔として採用したいとご相談をいただいている方から、最近 Cloud Linux について相談を受けたのがきっかけでした。 STHARK ホスティングで提供しているサービスは、基本的に Virtuozzo の仮想化基盤上に HA 構成で組み上げているのですが、その方は Cloud Linux をベースにサービスを運用されていらっしゃいます。 調べてみると、Cloud Linux + Plesk という組み合わせは非常に相性が良く、たくさんのドメインを管理するという意味では完璧な組み合わせです。 検証してみたところ、Virtuozzo の最新バージョン上で Cloud Linux を動かすことはできたのですが、Cloud Linux + Plesk の組み合わせがとても気になって、実際に試してみることにしました。 Cloud Linux + Plesk を調べている際に、この組み合わせを提供している某ホスティング会社のサービスを見つけることができたので、手っ取り早くさくっと申し込んで試してみることに。。。 このサービスでは、Plesk で Cloud Linux の持ち味を活かすための LVE Manager というものがインストールされていなかったので、ここからご紹介させていただきます。 インストールは以下のコマンドを打つだけの簡単なものです。 yum install lvemanager サーバ環境によっては多少時間がかかりますが、コマンドを打ったらインストールが完了するまで待つだけです。 インストールが完了すると、おなじみのメニューに LVE Manager が追加されます。(サービスプロバイダビューの場合) ※パワーユーザビュー場合は、「拡張」>「自分の拡張」>LVE Managerの「拡張に移動」となります クリックすると初期セットアップが始まります。 セットアップの設定項目は4つ。 CageFS は、同居するドメイン同士の負荷などの影響をなくし、ドメイン毎のリソース制御を実現するVPSライクな運用を可能にする Cloud Linux 一番のうま味なのでしっかりと活用しましょう。 LSAPI は PHP を高速化させる LiteSpeed の PHP なので、入れておいて損はないと思います。 MySQL Governor はこの画面からはインストールできないようなので、今回は無視します。 PHP Selector の詳細設定は、インストール後にLVEマネージャの設定で利用可能になりますので、とりあえず適当に。。。 こんな感じでセットアップしてみます。 インストールがはじまり、、 完了します。 ドメイン毎にトラフィックスピード、メモリ、ディスクIOとスピード、プロセス数などを管理できるようになります。 表示されているリストの右隅、えんぴつマークをクリックすると、これらの数値(上限)を設定できます。 バーチャルドメインで数百、数千という数を扱うのであれば、とても活用できるものだと思います。 以前の共用サーバでは、1つのドメインの負荷があがると、サーバ全体に影響を及ぼしていましたが、これがあればドメイン単位で制御できます。 なかなか期待値は高いですね。 サービス展開も検討しておりますので、なにかあればお気軽にご相談ください!

  • マルウェアのスキャン機能、ImunifyAV(無料版) を試してみた。

    ホスティングサービス

    WordPress に関する相談でよくあるのが、 ・不正なメールを一斉送信するプログラムを設置されてしまった ・不正なプラグインをインストールされ、閲覧したユーザーがフィッシングサイトに飛ばされるようになった ・知らないうちに怪しい広告がウェブサイトに表示されるようになってしまった などです。 WordPress のバージョン管理やセキュリティ設定をちゃんとやっていれば心配ないお話なのですが、「WordPress のセキュリティ診断ツール」について書いた記事にもあるように、WordPress ユーザーの半分近くがバージョン管理をしておらず、ハッキングされる CMS の90% が WordPress であるという事実から捉えると、この問題は起こるべくして起きているとしかいいようがありません。 まぁ、Plesk(プレスク)の WordPress Toolkit(ワードプレスツールキット)を活用する。 というのが一番いいとは思うのですが、Plesk にはマルウェアをスキャンする機能が提供されております。 それが ImunifyAV です。正確に言うと、Plesk の機能として提供されているものではなく、サードパーティーからの提供となります。 無料版ではファイルをスキャンして、悪質なコードを識別、Webサイト上の問題を通知してくれるだけになりますが、有償版ではそれをワンクリックで駆除することができるようです。 有償版といっても、サーバーあたり月額700円程度なので、安心のための保険としては安いのではないでしょうか。 サービスをご利用でない方も購入いただくことができるので、ご興味があればこちらご参照ください。 https://www.sthark.com/plesk-extensions/ さて、それでは無償版の設定について見ていきましょう。 真ん中の列の一番下に「ImunifyAV」というのがあるので、これをクリック。 Plesk に設定されているドメイン一覧が確認できます。 左上の「すべてスキャン」か、ドメイン名の横にある「スキャン」、どちらかをクリックします。 今回はドメイン名の横にある「スキャン」をクリックしてみます。 このようにスキャンがはじまり、5分~10分程度で終了しました。 状態のところが「クリーン」に変わり、安全であることが確認できます。 次に上のタブの「設定」を開いてみます。 $マークのところが有償版での提供となるわけですが、無償版ではスキャンスケジュールが「マンスリー」か「しない」の選択しかありません。また、検知した際の「駆除」も有償版での提供となります。 とはいえ、無償版でもそれなりの機能がご利用いただけますね。 製品情報のところでは、マルウェアデータベースの更新が行えます。 拍子抜けするくらい簡単でシンプルですね。 ただ、バージョン管理もそうですが、ちゃんと管理されていることがとても重要なのです。 簡単だからこそ、ちゃんと継続して管理することもできますよね ^^

  • Plesk社がつくった、WordPressのセキュリティ診断ツールを試してみた

    ホスティングサービス

    今回は、Plesk社が開発した WPchk という、WordPressの診断ツールについてご紹介します。 対象が Linux サーバであり、ルート権限をお持ちであることが条件になってしまいますが、前回のブログで Plesk のウェブインストーラの検証したサーバーで試してみたいと思います。 ※WordPressのセキュリティ管理について、こんな気になる資料もあります・・・ ・2018年にハッキングされたCMSのうち、90%がWordPressであった。 ・44%のWordPressがアップデートされていない。 あなたの WordPress は大丈夫? さて、さっそく試してみたいと思いますが、あまりコマンドが得意でない人でも、sshでサーバーにログインしたことがある人ならとても簡単な操作です。 1)GitからWordPressの診断ツールをダウンロード sh <(curl https://raw.githubusercontent.com/plesk/wpchk/master/installer) 2)WordPress診断ツールを実行 wpchk これだけです。 それでは早速サーバーに ssh でログインします。 1)のコマンドを実行 問題なくダウンロード完了。 続いて wpchk と打つだけ! このように、サーバー内のWordPressを検出して、バージョンやセキュリティの設定について指摘してくれます。 しかし問題はこれからです。 ダッシュボードでのファイル編集権限、pingback設定、CONCATENATE_SCRIPTSの設定。 もちろん利便性を上げるためのものもありますが、一番問題なのはWordPress やプラグインのバージョン管理も含めて、これらがちゃんと管理されていないことです。 1つの WordPress を管理することだけがお仕事なら、じっくり考えてそれぞれ対応していけばいいのですが、複数の WordPress を管理していたり、WordPress の管理以外にたくさんの業務をこなしていたりする人が大半なのではないでしょうか。 (ブログのくだりがいつも同じになってしまいますが・・・) そこで、Plesk です。 サーバー内に構築した、複数の WordPress のバージョンやセキュリティレベルを一括でチェックし管理することができるのです。 Plesk にご興味のある方は、いつでもお気軽にご相談ください! サービスの料金が安いことももちろん重要かもそれませんが、様々な状況とその変化を想定した時の大きな価値も含めて、コストパフォーマンスの良いサービスを選べると良いですね ^^

  • PleskでWordPressのアップデートをしてみた

    ホスティングサービス

    前回はWordPressのセキュリティチェックとセキュリティ対策をご案内しましたが、今回はその下に表示されているアップデートをやってみたいと思います。 今回は黄色い表示「適用可能」になってますね。 前回と同じように、右側にある「表示」をクリックします。 下の画像のように、WordPressコア、プラグイン、テーマのアップデート一覧が表示されます。 使用していないテーマでもインストールしてしまっているとアップデート警告が出ますので、使わなくなったテーマなどは削除してしまった方が良いかもしれませんね。 個別に選択したければ、アップデートしたいものだけチェックを入れます。 すべて選択したいのであれば、画像のように左上にある「すべてアップデートを選択」にチェックを入れます。 WordPressコアのところの、「復元ポイント」という青いチェックボックスがありますが、ロールバックが不要ということであれば、チェックを外してしまってください。 チェックを入れておけば、万が一の時、WordPressコアだけはこの復元ポイントにロールバックすることができます。 選択ができたら、アップデートボタンをクリック。 こんな感じでアップデートがはじまります。 さて、上の画像の右上に「Smart Update」というのがありますが、Pleskが独自に開発した「AI アップデート機能」です。 「$」マークがついておりますが、有償の機能であることを意味してます。 この機能は、アップデートを行う際にスタイルの崩れなどを事前に判別してくれる優れものです。 クリックするとこのような画面が別ウィンドウで開いて購入することができますので、ご興味があればためしてみてください。 話がそれてしまいましたが、アップデートは下の画面が出て終了となります。 この画面をクローズすると、 ご覧のとおり、アップデートの状態が「インストール済み」に変わり、色も緑になってます。 参考までに、先ほどご案内した「復元ポイント」へのロールバックは、下の画像の通り「復元」をクリックすると実行することができます。 このようなポップアップが表示されますので、「続行」をクリックすると作業が始まります。 これで復元ポイントへのロールバック完了です。 プラグインをたくさん利用していて、バージョンアップの際に互換性が気になるようであれば、以前のブログ「WordPressをアップデートする際に、Pleskのステージング機能を活用してみた」で紹介したステージング機能をご利用いただくと安心してアップデート作業を行うことができます。 それでは今日はこのへんで。 みなさん、あとあと苦労しないように、ちゃんとセキュリティ対策とアップデートはしておきましょうね。

  • PleskでWordPressのセキュリティチェックと対策をしてみた

    ホスティングサービス

    こんにちは。 今日は、PleskでWordPressのセキュリティ対策について書いてみます。 「WordPressセキュリティ対策」と検索してみると、「対策しておくべき10の項目」などセキュリティ対策としてやっておいた方が良い設定情報がたくさん出てきますよね。 WordPressの扱いに慣れている人でもひとつひとつ設定していくのはそれなりに手間のかかるものですが、あまり詳しくないと、1項目ずつその内容を理解するだけでかなりの時間と労力がかかってしまいますよね。 理解せずにやってしまうと、ウェブサイトにどんな影響があるかもわからないので、その手間をはぶくこともできません、、、 実はPleskを使っていれば、「やっておくべきセキュリティ対策」があっという間にできてしまうのです。 早速その方法をご案内します。 Pleskにログインして、左メニューにある「WordPress」をクリック。 (WordPressにかかわる設定は、ほとんどこのメニューから行うことができます) WordPressで管理されているドメインの一覧が表示され、それぞれのドメイン毎に管理ができるようになっているのもうれしいですね。 下の画像のように、SSL・セキュリティステータス・アップデートについて状態が確認できるようになってます。 みなさんがお持ちの色のイメージ通り、赤は危険、黄色は注意、青は安全。 セキュリティ対策については「セキュリティステータス」のところを確認します。 赤の「危険」になってますね。 これ、ほんとうに「危険」なんですよ。 セキュリティのケアをちゃんとやっていないと、外部からPHPファイルを勝手にアップロードされ、スパムメールの温床にされてしまったりします。 「wordpress スパム 踏み台」とか検索すると、たくさん情報が出てきます。 ちょっとお話がそれてしまいましたが、この「危険」の横にある「表示」をクリックすると下の画像の通り、何が危険なのか確認できます。 適用させたい項目にチェックを入れて左上にある「セキュリティ強化」ボタンをクリックすれば完了です。 今回は検証サーバなので、すべてにチェックを入れてみます。 項目の上にある「セキュリティ措置」にチェックを入れると、すべての項目にチェックが入ります。 この状態で「セキュリティ強化」。 10秒くらいで完了します。 下の画像のようにすべてのステータスが「安全」を意味する緑に変わっていますね。 以上で、WordPressで最低限(最低限以上ですね)やっておかなければならないセキュリティ対策が完了です。 この作業によるウェブサイトへの影響が気になる場合は、「WordPressをアップデートする際に、Pleskのステージング機能を活用してみた」でご紹介したステージング機能を活用すれば安心です。 PleskのWordPressに関連する機能を5回にわたりご紹介してきましたが、 ここまでくると、WordPressの運用がだいぶ楽になってきたのではないでしょうか。 今回はセキュリティステータスについて紹介させていただきましたが、 次回はその下にあるアップデートについてご案内します。

  • なにげにハイパーコンバージド

    ホスティングサービス

    私たちの主力サービス、Flex Mini Cubeで採用している仮想化技術はVirtuozzoというものなのですが、実はこれ、何気にハイパーコンバージドなインフラなのです。 デベロッパーのホームページにも自らを「A Leading Hyperconverged Infrastructure Software Provider」と表現しています。 この仮想化技術を10年以上活用しているのですが、複数台で構成されるHA構成であるのに、5年前に比べ集約率は約3倍。 しかもオーバーヘッドの少ないVPSと、個別のカーネルを持つKVMを混載させることができますので、理論的にはどんなOS環境でも集約させることができる超ハイパーコンバージド。 最新のサーバにリソースを目いっぱい積み込んで集約率を更に高めることもできるし、お金をかけずに、HA構成なので機器障害を恐れず今あるサーバをしっかりと活用し続けることもできます。 計画的な機材の入れ替えやメンテナンスも、サービスを止めることなく行えます。 今存在する最新のテクノロジーを使って運用するメリットもあるのでしょうが、それに近いパフォーマンスが出せるテクノロジーであるのならば、長い運用実績から経験を積み上げたインフラでの運用の方が遥かに安定したものであり、想定外の障害に出くわす確率もぐっと低くなります。 あまりお客様が意識するところではないかもしれませんが、こういった見えづらいテクノロジーと経験という価値の上にサービスが乗っかっているのです。

CONTACT

Flex Mini Cubeに関するお問い合わせ・相談ウェブサーバー専門スタッフが直接対応

03-6704-0779 平日:10:00-18:00 土日祝休み
お問い合わせフォーム