DNS切り替え作業を開始します


先週(2019年9月18日)から始めたサイト移行作業ですが、移行先サービスでの動作検証および暫定移行作業および移行前の事前確認が完了しました。
 これから(9/27から)、DNSの切り替え作業を開始します。つまり 「ドメイン切替え宣言」 です。外部に依頼するため切り替え完了までに1週間程度はかかると思われます。この期間は、更新作業を保留します。切り替え期間中もコメントの入力は可能ですが切り戻し等でクリアされることがあります。メールでの問い合わせも可能ですので比較的重要な連絡はメールを利用してください。ただしメールも同様に切り替わりますので、一時的に保留等が発生することがあります。移行完了後に「移行完了宣言」を出しますので、移行完了後に不具合が継続していた場合はコメントをお願います。

以下は、移行に関する状況と今後のスケジュールです。

・基本機能確認
– メール、設定 9/25一部実施済み; 暫定9/28完了予定、 正式 10/15完了予定
– Web 設定 9/25一部本番実施済み 正式 10/10完了予定

・WordPressコンテンツの移行
   仮 9/22実施済み 正式 10/10完了予定
・DBデータ移行
   仮 9/22実施済み 正式 10/10完了予定
・WordPress以外のWeb,DBは9/25移行実施済み。


WordPress 5.3 Betaリリース、 旧版へのセキュリティパッチは?

2019年9月23日にWordPress5.3Beta1がリリースされていますが、旧版へのセキュリティパッチの情報は特にありません。WordPressは新版をリリースするときは1か月くらいかけて毎週のように更新版を出してきます。開発のほうに力を入れていて、セキュリティへの対処へ使うパワーがあまりない感じがします。
セキュリティ対処は外部の人の力に頼っていて、自己対処ができていないのではないかと思われます。このような状態では、新規開発部分に作りこまれる脆弱性は減らず、脆弱性がどんどん増えていく状態になるのではないでしょうか?

さて、追加でWordPress 5.2.3 で対処された脆弱性について確認します。 影響度と影響範囲の情報について追加情報が出ていますが、あまり詳しくありません。 CVE-2019-16220JVNDB-2019-009141)の場合、影響バージョンは WordPress 5.2.3 未満 となっています。該当機能が、初期バージョンから存在するのか疑問ですが、該当機能はかなり以前からあるので事実上すべてのバージョンに影響があるといってもよいのかもしれません。それから9/12の午後以降にJVNの情報公開がされていました。今後のセキュリティパッチはWordPress5.3に対して提供されることになると思われるので、どのタイミングでWordPress5.3に上げるのか、検証計画を立てておくなど検討しておいたほうがよさそうです。

サイト移行作業に関連して、BizMWとXSERVERの仕様の違いについて


先週(2019年9月18日)から実施中のサイト移行作業に関連して、メモ代わりに、BizMWとXSERVERの仕様の違いに関して書きます。
 簡潔に書いてしまうと、XSERVERはBizMWよりもシステムエンジニア向けです。しかし、BizMWのほうがシステム管理をよく理解している開発者というより上級エンジニアが設計した一般利用者向けのシステムと言えるでしょう。UNIX系の知識があまりないならBizMWからXSERVERに移行すると分かりにくく使いにくく、コストが増加するかもしれません。逆にUNIX系の知識があれば、自由度が高い運用ができ、コスト削減できそうです。

以降は、気がついた具体的なポイントを書きます。気が付いた順に書いたので順番は意味がありません

■バックアップからの復旧
 バックアップは復旧方法から設計するというのが、バックアップ・復旧の基本と言われたりしますが、BizMWではWebコンテンツを過去にバックアップした任意のものにコントロールパネルからボタン一つで復旧できていました。初心者向けには分かりやすく、パッチ適用でのトラブルなどの障害からの復旧を短時間におこなうことができ非常によい仕組みです。XSERVERのほうは、利用者向けに提供された復旧の簡便な仕組みがありません。手動バックアップで作成したアーカイブをダウンロードできます、また日次で自動バックアップが動いています。 バックアップから復旧させるには、手動でバックアップしたファイルをアップロードするか、費用を支払い、バックアップデータをバックアップディレクトリに置いてもらって、そこから手動で復旧させる必要があります。sshやcronが使えるので、自前で何とかできそうですが、あまり親切な設計ではありません。
データベースのバックアップと復旧についてはXSERVERのほうが簡単です。サーバパネルで、手動バックアップの他、自動バックアップからの復元がボタン一つでできるようになっています。どちらが良いかは好みかもしれません。

■SSHでの利用
 XSERVERでは、マルチドメイン運用でも、ドメイン間のファイルコピーをディレクトリ間のコピーで操作できます。sshになれていれば、かなり運用管理しやすい。BizMWではsshできなかったので、かなり楽になります。

■データベースの移行
XSERVERもMySQLなので、あまり苦労せずに移行できます。1点、XSERVERのデータベース名はサフィックスがサーバ名?に固定されているために移行前と同じデータベース名にはできず、エクスポートファイルのままだと「CREATE DATABASE IF NOT EXISTS <データベース名> DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;」とエラーが出ます。
 SQLのファイルのデータベース名が書かれた個所を修正してインポートします。
データベースをCREATEしているなら、その個所を削除する

また、BizMWではローカルマシン上にDBがありましたが、XSERVERは別マシンなので、接続先の設定変更も行います。

■メール関連
BizMWではエイリアス設定がありましたが、XSERVERではエイリアスがなく、メールアカウントを作って転送設定をすることで代替は可能です。振り分け設定で転送が可能だが、これもメールアカウントを作っておかないと宛先不明でメールが消失する(送信元にも返されない)ケースがありそうです。

とりあえず、ここまでで一旦公開します。 引っかかった点などあれば随時更新します。

・基本機能確認
– メール、設定 基本検証は済; 暫定9/28完了予定、 正式 10/15完了予定
– Web 設定 9/23実施済み 正式 10/10完了予定

・WordPressコンテンツの移行
   仮 9/22実施済み 正式 10/10完了予定
・DBデータ移行
   仮 9/22実施済み 正式 10/10完了予定

サイト移行作業の状況について


先週(2019年9月18日)から始めたサイト移行作業ですが、移行先サービスでの動作検証を行い、移行先サービスでの事前動作検証が完了しました。これにより、移行先をXSERVERに確定しました。試用での検証を終了しましたので、これからフル機能での動作検証を進めます。まずは、新規ドメインでのWeb動作の検証と、メール機能の検証を行う予定にしています。
 その後、既存サーバの情報の最新状態を移行先に転送して、いったん更新作業を保留します。この状態で、ドメインを新サーバに移行します。ちなみにMIC-NETのサーバのドメイン引っ越しはこれで6回目です。引っ越し期間中サービス停止を最小化するようにしますが、コンテンツ類が巻き戻って見えるなどの不具合があるかもしれません。ドメイン切替えに時に「ドメイン切替え宣言」、移行完了後に「移行完了宣言」を出しますので、移行完了後に不具合が継続していた場合はコメントをお願います。

以下は、移行に関する状況と今後の概略スケジュールです。

・基本機能確認
– メール、設定 未; 暫定9/28完了予定、 正式 10/15完了予定
– Web 設定 9/23実施済み 正式 10/10完了予定

・WordPressコンテンツの移行
   仮 9/22実施済み 正式 10/10完了予定
・DBデータ移行
   仮 9/22実施済み 正式 10/10完了予定

ネットワーク障害発生、色々調べたが原因特定できないまま解消。

昨日、原因不明のネットワーク障害が発生し原因調査と対処をしていましたが、原因不明のまま解消しています。NTT側の障害の可能性もありリアルタイム障害情報などを確認し、「障害があるかも」の情報があり注視しながら進めていましたが実質的に何もしないまま解消しています。以下状況と対処内容、今後の障害に対するメモです。

1. 2019/9/19 15:00ころネットワークが使えなくなる障害が発生。
復旧のため、PC再起動、ルータの再起動を行ったが復旧せず。
 状況を確認したところ、LAN内で同一セグメントの別マシンにPingも通らない。
 → 自マシンのIPが想定外のアドレスに変わっている。→ DHCPが機能していないとおもわれた。
2. 自マシンを固定IPに変更した。
 → これでもLAN内で同一セグメントの別マシンにPingも通らない。ルータにもPingが通らない。
#なんか変だ、発想を変えて、使えるものを確認してみる。
3. 別のWiFi回線を使ってインターネット上の情報を見てみる。特に情報がないためNTTの回線の問題ではないかもしれない。事象発生から10分くらいしかたっていないのでまだ情報が出ていないだけかもしれない。携帯電話から光電話に電話をかけてみると問題なく電話がかかってきた。
#ますますオカシイ、外部回線の問題ではなさそうなので自前で対処するしかなさそうだ。
4. よくあるインターネット接続できない場合のPCやルータの再起動では回復しなかった。
#これは自分で地道に原因調査して、回復させるしかなさそうだ。
5. まず最小限の範囲から回復させていくことにする。
 自マシンと同一セグメントの別マシンの通信を復旧させることにした。この隣のマシンにPINGが通らないは異常な事態だ。単純に手元のHUBが故障したのかと仮説を立てて確認をしようとしていたところで、別系統の無線LANで接続している機器から次々とインターネットに接続できない旨のメッセージが報告された。
#おや、これは単一障害ならやはりルータの問題か?と問題原因の仮説を見直すことにした。
6.いったん、電源を切ってみる。
 →これでも、 自マシンと同一セグメントの別マシンの通信ができない。固定IPなのにPingも通らない。
#これは、かなり異常な状態である。使える機器を狭い範囲で確認して順番にひろげていくことにした。
7. 一度、HUBにつながったケーブルをすべて外して、 自マシンと別マシンだけにして、Pingしてみる。問題なくPingが通った。
#当たり前だが久しぶりにようやく動いた。
8. 1本ずつ、ケーブルをつないで動作確認してみる。ある1本のケーブルをつないだところで、そこまで通っていた 自マシンから別マシン へのPingが通らなくなった。ネーブルを外すと、Pingが通るようになる。このケーブルの先に問題がありそうなことが判明した。ただ、このケーブルの先にルータがあり、このケーブルを接続しないと、インターネットには接続できない。
#このパターンの場合、ループしている可能性が一番高い。しかし、その後の調査でもループは見つかっていない。長引きそうだが、インターネットの接続を早く復旧したいので、メインルートから復旧を試みることにする。
9.問題のケーブルの先のHUBに接続されたケーブルをすべて外してルータのみ接続した。→ これによりインターネットへの接続が復旧した。
10. 先に外したケーブルを接続しなおし、動作確認を行った。→ 障害発生前の状態に復旧した。
#結局、障害の原因は不明であり、ケーブルの挿抜だけで復旧したことになる。今度同様の事象が発生したときは、パケットキャプチャも行うことにする。

WordPress セキュリティパッチのみ自動適用するには

 WordPressのセキュリティパッチに関して検討および対処してきましたが、多数のプラグインの利用とWordPressのパッチリリースのスタンスや情報公開の仕方を考慮してパッチリリース状況の監視と適用の手順を見直しました。
 セキュリティパッチのみを適用するということが、WordPressの場合は「セキュリティ修正が含まれているのにメンテナンスパッチ」となっていたり、「プラグインのセキュリティ問題の対処をセキュリティ修正としない」とされていたりする状況からあまり妥当でないとなっていると判断しました。

つまり、ポイントは次の2点です。
・WordPressがいうところのメンテナンスリリースとセキュリティリリースとを区別して別の取り扱いをする意味はあまりない。メンテナンスリリースとされていてもセキュリティの対処が含まれている場合がある。
・ メンテナンスリリースとセキュリティリリースのどちらも適用しないと問題があるかどうかを確認できない場合がある。

以上の状況から、つぎのようにします。

「テスト用サイトを立ち上げておいて、テスト用のサイトについてはパッチを自動適用する設定にしておく、パッチ適用のメールが来たら動作確認を行い、本番環境に適用するかどうかを吟味し適用手順を確立したうえで適用作業を行う。」

具体的なサイト移行作業を始めます


2019年9月18日時点で本サイトはBizMWのサービスを利用していますが、2019年12月27日でBizMWのサービスが終了するため、本サイトを他のホスティングサービスへの移行作業を行います。移行先については事前調査済みですが、再度、最新の状況を調査して移行作業を行います。
 移行先に関しておすすめなどの情報があればコメントをください。

次の観点で試行確認を行い、移行を進めていきす。

・基本機能確認
– メール、設定
– Web 設定

・WordPressコンテンツの移行
・DBデータ移行

移行先の検討その後


以前に、書いた移行先の検討ですが、 ”代替サービスの案内を郵送” はまだですがメールとWebでの案内がありました。その情報を先に公開した移行先の情報に反映しました。この結果から移行先の検討絞り込みをし、移行に向けて試行検討を開始します。


1)代替サービスについての資料の受領。 2019/8/下旬→ 9/10メール受領、郵送分は9/17時点で未受領。

2) 移行スケジュールの確定。 2019/8/25→暫定で以前のスケジュールで作業中。
3) これ以降のスケジュールは、代替サービスの案内書類の受領時期により見直しする。
3-1) 書類レベル調査完了 2019/8/30→ほぼ済だが郵送待ち(9/17時点)
   ここまでに代替サービス案内を入手済みと仮定。未入手ならスケジュール見直し
3-2) 移行先候補 最大3つまでに絞り込み 8/31
3-3) 実地調査 9/1-9/15 実サイトを仮運用して調査
3-4) 移行先確定 9/16
3-5) 申し込み環境構築 9/17-9/20
3-6) バックアップ・復旧、定期実行パッチ等の運用操作の動作検証 9/20-9/30
3-7) 現行サイトからのサイトデータの仮移行 10/1-3
3-8)移行後の環境の動作検証 10/3-10
3-9) 移行後環境の操作手順等手順書類更新作成 10/11-10/15
3-10) ドメイン切り替え依頼 10/16
3-11) 現行サイトからのサイトデータの移行(仮本番) 10/17-20
3-12) プロバイダによるドメイン切替作業&反映 10/16-10/30
3-13) 新クラウドサーバでのドメイン運用開始 11/1
3-14) 新クラウドサーバでのmic.or.jpドメイン運用検証 11/1-15
3-15) 現行サイトからのサイトデータの移行(本番) 11/1-2
3-16) 検証期間予備 11/16-11/30
3-17) ドメイン移行期間予備 12/1-12/27
  

スケジュールの項番3以降は、前回公開したスケジュールと同じです。

なお、移行先等は移行先検討のページに記載しています。

WordPress 5.2.3 セキュリティパッチの適用

2019年9月5日にリリースされたセキュリティ&メンテナンスパッチWordPress5.2.3について書きます。 wp-config-sample.phpが更新されていましたが、動作に影響がある変更はなく実質的には気にする必要はありませんでした。5.2.1のように白画面になることもありませんでした。
 しかし、” Page Visit Counter ”がエラー(具体的に何のエラーなのか情報がない)で止まっていました。この停止問題はプラグインを設定ページで有効化することで解決しています。

WordPress 5.2.3 で対処された脆弱性について確認します。 WordPressのサイトの情報では1件ごとに明確にされるべき影響度とか影響範囲の情報がなく、問題検出者への感謝?の公開の場でしかありません。何とかしてほしいが、他のサイトで確認してみましょう。 9/12時点でJVNのほうにはまだ登録されていないように見えます。NVDの情報では、つぎの7件がWordPress5.2.3で対処されたことが分かります。

CVE-2019-16223WordPress before 5.2.3 allows XSS in post previews by authenticated users.
CVE-2019-16222WordPress before 5.2.3 has an issue with URL sanitization in wp_kses_bad_protocol_once in wp-includes/kses.php that can lead to cross-site scripting (XSS) attacks.
CVE-2019-16221WordPress before 5.2.3 allows reflected XSS in the dashboard.
CVE-2019-16220In WordPress before 5.2.3, validation and sanitization of a URL in wp_validate_redirect in wp-includes/pluggable.php could lead to an open redirect.
CVE-2019-16219WordPress before 5.2.3 allows XSS in shortcode previews.
CVE-2019-16218WordPress before 5.2.3 allows XSS in stored comments.
CVE-2019-16217WordPress before 5.2.3 allows XSS in media uploads because wp_ajax_upload_attachment is mishandled.

9/11にDBに登録されたばかりで影響範囲など詳しい情報はまだありませんでした。

想像ですが、9/12時点で過去バージョンに対してセキュリティ修正のみ(WordPress5.1.2?)を提供しようと準備しているように見えます。5.2.3のリリースには「In addition to the above changes, we are also updating jQuery on older versions of WordPress. This change was added in 5.2.1 and is now being brought to older versions. 」の記述があります。しかし明示的には5.1.2について特にアナウンスしているようには見えないので、本当にリリースされるかはわかりません。どうしても欲しければチームに入って推進すればよいかもしれません。

移行先の検討について 


以前に、利用しているホスティングサービスのサービス終了に伴い移行先の検討すると書きました。一通り情報収集もおわりそれぞれのサービス内容の把握もほぼできました。後は動作検証によって移行先を最終的に選定を行うだけですが、窓口に問い合わせた結果、”代替サービスの案内を郵送”の時期は8月下旬という回答がありました。この時期を反映して、つぎのようにスケジュールを見直しします。

最終的な判断は資料が届いてからにするとして、本格的に情報収集を始めます。
 また、これまでに仮決めしていた移行スケジュールは2019年10月に移行先決定でしたが、現行サービス終了から逆算してスケジュールを決めなおすことにします。※ 現在の運用状況だと、1か月並行運用、1か月切り替え期間、1か月予備期間くらいをとらないと余裕を持った作業ができなさそうです。

1)代替サービスについての資料の受領。 2019/8/下旬

2) 移行スケジュールの確定。 2019/8/25
3) これ以降のスケジュールは、代替サービスの案内書類の受領時期により見直しする。
3-1) 書類レベル調査完了 2019/8/30
   ここまでに代替サービス案内を入手済みと仮定。未入手ならスケジュール見直し
3-2) 移行先候補 最大3つまでに絞り込み 8/31
3-3) 実地調査 9/1-9/15 実サイトを仮運用して調査
3-4) 移行先確定 9/16
3-5) 申し込み環境構築 9/17-9/20
3-6) バックアップ・復旧、定期実行パッチ等の運用操作の動作検証 9/20-9/30
3-7) 現行サイトからのサイトデータの仮移行 10/1-3
3-8)移行後の環境の動作検証 10/3-10
3-9) 移行後環境の操作手順等手順書類更新作成 10/11-10/15
3-10) ドメイン切り替え依頼 10/16
3-11) 現行サイトからのサイトデータの移行(仮本番) 10/17-20
3-12) プロバイダによるドメイン切替作業&反映 10/16-10/30
3-13) 新クラウドサーバでのドメイン運用開始 11/1
3-14) 新クラウドサーバでのmic.or.jpドメイン運用検証 11/1-15
3-15) 現行サイトからのサイトデータの移行(本番) 11/1-2
3-16) 検証期間予備 11/16-11/30
3-17) ドメイン移行期間予備 12/1-12/27
  

スケジュールの項番3以降は、前回公開したスケジュールと同じです。

なお、移行先等は移行先検討のページに記載しています。