XOOPSスパム対策
XOOPSを使ってたサイト、かなーり長い間放置していたらスパムの投稿が2000件以上あった。ちょっと探したけどユーザーインターフェースから20個とか100個とかまとめて消す機能がなかったのでDBを直接いじって削除した。
で、今後は少し対策しようと思って色々ネットを探した。簡単に情報が見つかるかと思ったけど、意外に情報が分散してたり不十分だったりして、思った情報を見つけるのに丸1日位かかった気がするので、まとめてみる。
○Protectorのインストール
Protectorというモジュールは名前の通り色々な攻撃からXOOPSを保護してくれるもの。
・xoops_trust_pathの設定
Protectorをインストールする前に、xoops_trust_pathというものを設定しなければいけない。これはドキュメントルートとは独立していないといけない。詳しい設定方法はこちら。
・ファイルのアップロード
このページからProtectorというモジュールをダウンロード。
Protectorのパッケージを解凍するとhtmlとxoops_trust_pathの2つのディレクトリがある。
xoops_trust_path内のディレクトリを先ほど設定したxoops_trust_pathに入れる。
html以下のディレクトリは通常のモジュールと同じ場所に入れる。
通常のモジュールのインストールの仕方については、こちらのページが分かりやすかった。
・インストール
後はいつもと同じように、管理画面からモジュール管理に進んで、通常通りインストール。分からない人は先ほどのページを参考に。
後はmainfile.phpを修正。詳しくはこちら。バージョンによって若干違うかもしれないけど。
・RBLで弾く、2バイト文字が無い場合は弾く
ここまでやっただけでもそれなりに効果はあったんだけど、何かイマイチものたりない。ブラックリストとかを使用したいけど…とか思ってたら、Protectorのパッケージに入ってた。単にデフォルトでは無効になってるだけ。
xoops_trust_pathmodulesprotectorfilter_disabled 内に入っている2つのファイルを filter_enabled に移動するだけで、これらの2つのモジュールが有効になる。
結論からすると、やるべき事はそんなに難しくないんだけど、情報がまとまってない。ユーザー数の違いなんだろうけど、Movable Typeとかだったらすぐ情報見つかるんだけどね。
結構色々議論してるページはあったけど(こことかこことか)、自分も含めユーザーって結構手っ取り早い情報を求めているし、分かりやすいページがあればいいんだけどね。
Protectorのインストール方法が分からない人もちょこちょこ見かけた(この人とか)
