[fnetmasa]

ご丁寧にお返事いただき，ありがとうございます。

＞入金日時（receipted_date）を受注編集画面に表示する方法ですが、
＞カスタマイズすれば可能です。カスタマイズはどの場所に表示するかに
＞より方法（フック）が異なります。

表示したい場所は，
「Welcart Management 受注リスト」の受注一覧表示に，項目（入金日）を追加できればと希望しています。

＞カスタム・カスタマーフィールド」はフロントのお客様情報入力ページに
＞表示され、お客様に入力してもらうフィールドです

確かに。認識不足でした。ありがとうございます。

＞設定を更新」には usces_action_update_orderdata というアクションフックがあります。

ありがとうござます。いろいろカスタマイズすることが多いですので，助かります。

＞ご利用の WordPress および Welcart、PHP のバージョンが古いので、最新版にアップデートしていただければと思います。

ご指摘ありあがとうございます。当該サイトは小テーマを使ってはいますが，かなりカスタマイズが入っていますので，アップデートするには，かなりのテストが必要な状態ですので，まだ更新できないでいます。
セキュリティについては，本筋ではありませんが，業務との兼ね合いで，他の幾つかの方法でセキュリティ対策と，チェックを毎日している状況です。

年末のご多忙のところ恐縮ですが，よろしくお願いいたします。

[fnetmasa]

お返事ありがとうございます。

以前にSSLでつまづきまして、このSSLボタンの動きを知って当時対応したものの、今回また久しぶりにWelcartで開発を進めましたら、以前のことを忘れていて、同じことで格闘いたしました。

確かに「切り替え」という意味だと動作の辻褄があいますが、

「カート部分のみSSLを使う」という感じの表現の方が、慣れていない人には間違いが少ないように思います。

ご検討ありがとうございます。

[fnetmasa]

解決しました。

usces_action_after_inCart
のフックを使って、

$_SESSION[‘usces_cart’]
を操作して、目的の動きを実装できました。

[fnetmasa]

おはようございます。

４日間踏み台にされていたのですね。ほんとうにお疲れ様です。

htacesseは、アドインの設定によって書き換えられることがあります。
PHPのファイル追加改変がなければ、まだ踏み台にはなっていないです。

侵入者は自分のログを綺麗に削除してからでていかれますので、ログだけでは発見困難な場合が多いようです。

[fnetmasa]

こんにちは

すぐに対処すればSPAMは停止できます

すみません、この対処方法が分からないのですが、教えて
いただけますでしょうか。検索のキーワードなど
ヒントをいただければうれしいです。

１時間置きにscannerを設定しておくと、改変ファイル、追加ファイルのがあった場合、メールを送ってきてくれます。
取り急ぎの対策としては、追加されたディレクトリを削除すれば、SPAM送信ができなくなります。
ただ、そのまま放置すれば、また再び改変にやってくると思います。

・日本国内向けのWPサイトでは、日本からのみアクセス許可
　（ただしGoogle等検索エンジンには見せる）
・海外にも見せるサイトは下記３ファイルを海外からは遮断
　　wp-cron.php
　　xmlrpc.php
　　wp-login.php

こちらについても何かヒントをいただけますでしょうか。
プログラムのことが分からないです。

こちらについて参考サイトをURLで書いたものの、この掲示板ではURLを自動削除されてしまいました。

さくらでは「国外IPアドレスフィルタ」という機能があります。
「さくら　国外IPアドレスフィルタ」でググるとでてきます。

また、重要３ファイルのアクセス制限については

「海外からWordPressにイタズラされるので、不正アクセス対策をしました。」

というあるブログ記事を参考にしました。上記タイトルで検索するとでてきます。

ご参考まで

[fnetmasa]

こんにちは

WordPressの脆弱性とプラグインの脆弱性と関連があるようにも
聞いています。

はい。そのような事例もあると思います。サーバーそのものの脆弱性もつかれます。

改ざん時に通知が来ると、改ざんされる前に阻止できるのでしょうか。
回復したらやってみます。

いえ。もちろん後から分かります。

しかし、サーバー会社（さくら）から知らされて初めて知るということは阻止できます。
すぐに対処すればSPAMは停止できますので、サーバー会社も忍耐してくれると思います。

最近はロシア以外のヨーロッパ、特にイタリアからのアタックが激しいです。

特定の国を拒否して、googleの検索エンジンには検索結果として
表示させても、その特定の国の端末からは開けないということでしょうか。

はい。そのとおりです。日本語のGoogleサイトも、海外のサーバーを使っているようですので、海外からのアクセスを一律に遮断すると、Googleの順位も下がります。
そこで、主な検索ロボットには見せます。

しかし、海外の人たちの端末からは見えないサイトになります。

取り急ぎ補足でした。

[fnetmasa]

プラグイン無しのワードプレスだけで、簡単に乗っ取られることがあります。

幾つか見てきました。

ですので、WP自体に脆弱性がある、という前提で対策する必要があります。

ご存知の情報かも知れませんが、ご参考までに書かせていただきます。

わたしは、WPプラグインの「All In One WP Security」の機能である「scanner」を使って、ファイル改ざん時にメールで警告が来るように設定しています。
正確には改ざんというよりも、相手は乗っ取りにつかうディレクトリとファイル一式を追加してきます。しかし、このscannerで不正侵入を検知できます。

また、ほとんどが海外からのアタックですので、下記の対策を行っています。

・日本国内向けのWPサイトでは、日本からのみアクセス許可
　（ただしGoogle等検索エンジンには見せる）
　
・海外にも見せるサイトは下記３ファイルを海外からは遮断
　　wp-cron.php
　　xmlrpc.php
　　wp-login.php

参考サイト
http://zuntan02.hateblo.jp/entry/20140523/1400837726
https://www.tank-sakurai.com/wpsecurity/

[fnetmasa]

この２日間同じSSLと非SSL混在問題と格闘して、こちらに来ました。

結果、WELCARTの管理画面で「SSLを使用する」のチェックボックスを外すとOKでした。

サイト全体をSSLにするときはWELCARTではSSLを使用しない。という設定のようです。

チェックボックスのところに、注意書きがあれば助かります。

リンクをクリックすると
「SSLを利用する場合はチェックを付けてください。
ただし、サイト全体を SSL 化する場合は、チェックを外してください。」

とでてきますが、ベタに書いておいていただくのが良いと思います。

ずいぶん多くの人がつまずいているようですので。

参考サイト
https://teratail.com/questions/28899
の最後の投稿部分　です。

• この返信は7年前にfnetmasaが編集しました。

[fnetmasa]

ご返信ありがとうございました。

無事に設定出来ました。ご教示いただき大変助かりました。

FNETMASA

[投稿者]

投稿