昨日から今日にかけてトップページが崩れた事で大変ご迷惑とご心配をおかけしました。
管理画面を開いた時に警告が出て、セキュリティに問題があるのでコアを替えよと言う支持でした。
そこでDrupalをダウンロードしてコアを入れ替えたのですが、トップページが崩れてしまいました。
原因を調べたところ、先日ロリポップが攻撃に遭い、セキュリティを強化するために、サーバーに登録されている.htaccessがロリポップにより書き換えられている事がわかりました。
この件については、メールが来ていたのですが、あまり意味がわからず読み過ごしていました。
Drupalの中にはこの.htaccessも含まれており、通常ならダウンロードしたファイルを全て上書きすれば問題無くバージョンアップできるはずですが、当然Drupalはロリポップの事など解っていませんので、問題が生じました。
もちろんバーションアップの前には全データがバックアップして有りますので、.htaccessを入れ替えたところ復旧しました。
しかし、まだ管理画面で警告が出ます。
Files directory Not fully protectedと言うものですが、これは現在の.htaccessが古く、セキュリティに問題があると言うことらしいです。
この対処法も調べて一部文章を書き込んで上書きしました。
これでめでたく警告は出なくなったのでやれやれと思ったのですが、新しいフォーラムトピックの投稿をする時だけまた画面が崩れます。
そこでまた前の.htaccessに取り替えたら直りました。しかし、管理画面の警告は出ます。
この警告は出ても特に問題は無いようですので、このままで行く事にします。
サイトは表示されないと管理画面にも入れず立ち往生となります。コアのバージョンアップの時はしっかりバックアップを取って、いつでもサーバーのファイルを元に戻せるようにしなくてはいけない事を肝に銘じておく事にします。
悟空
Re: トップページの事故について
2013.12.20 (金) 10:21 by 悟空管理画面で出る警告「Files directory Not fully protected」について、解決しました。
元々の.htaccessの内容です。
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
Options None
Options +FollowSymLinks
Drupalサイトから以下のように書き加えた.htaccessをコピーし、上書きすれば解決するはずでした。
# Turn off all options we don't need.
Options None
Options +FollowSymLinks
# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
# If we know how to do it safely, disable the PHP engine entirely.
php_flag engine off
# PHP 4, Apache 1.
php_flag engine off
# PHP 4, Apache 2.
php_flag engine off
ところが、先日の攻撃による対策でロリポップは「Options +FollowSymLinks」の使用はできないように変更、代わりに「Options +SymLinksIfOwnerMatch」を使うようにとのことでした。
そこで上の.htaccessの該当部分を書き換えて上書きしたところ、警告は消えました。
☆参考
http://fumiyas.github.io/2013/09/03/no-follow...
悟空