mixhostの感想!いじり倒す人は注意が必要かも[障害内容追記]

2017 2/23 障害発生

jp3.mixhost.jpでサーバー障害が発生して、一時、WordPressのwp-config.phpファイルのソースが見れる状態になっていました。

wp-cinfig.phpを見れなくする方法や、公式の対応を追記したので、目次の【2017/02/23にPHPソースが見えるサーバー障害発生】から移動できます。

mixhostのエコノミープランにお試し契約して数日が経ちました。

とりあえず、契約したら、管理画面を触りまくる人なのでまだサイトの運営はしていません。

WordPressの引っ越しプラグインを使用してサイトの移転を確認したらトラブルもなくスムーズにいきました。

ただ、何でもいじくりたい管理人は、色々試してくうちに、トラブル発生!

自力で解決できなかったので、初めてサポセン使わせてもらいました。

スタッフの方が、夜遅くまで対応していただき、本当に感謝です。

スポンサーリンク

mixhostで良かったこと

コントロールパネルが日本語表示

同じ「cPanel」を使っている海外ホスティグサービスの「000a.biz」も一応日本語対応してるけど、mixhostは翻訳じゃないちゃんとした日本語で書いてるので分かりやすいです。

ネームサーバー変更前に独自ドメインが登録できる

海外ホスティングサービスの「000a.biz」だと、独自ドメイン登録する時にネームサーバーの紐づけしてからじゃないと登録でませんが、mixhostだと紐づけなしで登録できるで、移転前にサイトの動作確認がでます。

サーバーのステータスが分かりやすい

mixhostは共有サーバーですが、ユーザーごとにCPUやメモリ容量を振り分けてるので、CPUの使用率やメモリの消費量がユーザー毎に見れます。(VPSに近い感覚です)

WordPress一つ入れるとこのぐらいメモリ食うんだってのが分かります。

SSHが使える

多分、mixhost使ってみて一番はこれかなと思います。

レンタルサーバーは無料の「Xdomain」と「000a.biz」ぐらいしか使ったことないので、他は分かりませんが、Tera TermでSSHに接続できるので、root権限ではありませんが、ある程度コマンドが使えるのでそこそこ細かく作業できそうです。

一度WordPressを削除した際にFTPだと時間かかるのでSSHだとあっという間に終了。

あとは、topコマンドで物理サーバーと思われるCPUの数とメモリ容量が見れるのも面白いです。

サポートの対応が良い・早い

契約前に何個か質問したんだけど、その回答の来る時間が早いです。夜遅くに契約時のクーポンについて聞いた内容だと回答に1時間かかっていません(逆に中の人が心配になります)。

色々いじくっててWordPressが動かなくなった時も、夕方に問い合わせたので対応明日かなと思ってたら、当日中に対応してくれました。

実は、障害が発生したときに、発生中と復旧後の2回メールが届くのでこれが一番好感もてました。(わずか10分の障害です)

mixhostで不便なところ

コントロール画面が分かりづらい

海外サーバーでcPanel使ったことありますが、最初は戸惑いました・・・

特に戸惑ったのが、独自ドメイン登録とサブドメイン登録です。

独自ドメインは「アドオン ドメイン」、サブドメインは「サブドメイン」から登録できます。

sub.coronblog.net」のような独自ドメインのサブドメインを登録するときは、

独自ドメイン登録 > サブドメイン登録の順にしないといけません。

若干サーバーが不安定か・・・

使い始めて数日のうちに2回落ちました。

落ちたと言っても数分~10分ぐらいで大きな障害ではありません。(多分サーバー再起動で収まるレベル)

たまたま、契約してのタイミングで発生したかもしれないし、契約したサーバーが一番新しいようで障害情報も少ないので、もう少し使ってみないと分かりません。

2017/02/23に重大な障害が発生しています。詳しくは下記に「追記」してます。

何でもできるけど注意が必要・・・

ファイルマネージャーやSSHでホームディレクトリ内の全ファイルに権限が付いてるのでなんでも触りたい人は注意が必要です。

下手にファイルなど削除すると最悪WordPressが使えなくなります。

管理人はバックアップ機能の確認のためホームディレクトリ内の全ファイル削除しました。

一応バックアップから復元したのですが、その後、WordPressのサイトを表示すると

お使いのサーバーの PHP では WordPress に必要な MySQL 拡張を利用できないようです。」とメッセージがでてサイトが表示しません。

どうやらPHPのMySQLの拡張モジュールが入ってないようで、PHPでデータベースが使えないようです。

PHPのバージョン切り替えても使用するモジュールの選択を変更してもダメだったので、初めてサポセン使わせてもらいました(対応は「サポートの対応が良い・早い」で述べた通りです)

原因の詳細書きました。

mixhostのファイルマネージャーで絶対にやってはいけないこと
mixhostのファイルマネージャーで絶対にやってはいけないこと
ファイルマネージャーで誤った操作をすると、最悪、WordPressのサイトが、真っ白になり「お使いのサーバーの PHP では W...

管理画面の便利な裏技

裏技ってほどでもないですが、管理画面「cPnael」は項目ごとに並び替えができるので、よく使うタスクを上のほうに持ってくることができます。

cPanelの管理画面です。

マウスで、赤枠で囲んである部分をドラッグすると

このように点線の枠が現れます。

項目のタスクを並び替えることができます。

海外の無料サーバーを使っていた時に知ったので、よく使うタスクを上にすることで使いやすなるかと思います。なお、一つの項目単位で並び替えはできません。

まとめ

まだ、サイトの運用してないのでSSDやメモリ容量、CPUなどスペック上のことは実感ないですが、

使ってみた感想としては、簡単(初心者がすぐに使えるレベル)とは言いませんが、公式の「ヘルプセンター」が情報量が多く、スクリーンショットを入れて説明してるので分かりやすいです。

WordPressの移転作業が、以前、ローカルで確認した作業と同じでトラブルもなくスムーズにできました。

mixhost登録前にWordPress移行プラグインを試してみた
mixhost登録前にWordPress移行プラグインを試してみた
以前から『レンタルサーバーMixhostが気になります』で気になっているmixhostですが、登録前にWordPre...

ローカルで確認した作業と全く同じです。

最初、移転前に、同じドメインでどうやって動作確認するんだろうって思ってたら公式のヘルプに解決策が載っていました。

hostsファイルの設定方法
hostsファイルを設定する事により、ネームサーバー変更前でも独自ドメインでWebサイトにアクセスし、動作を確…

まさか、こんなに簡単な方法があるなんて思ってもみませんでした。

これだと、自分以外は移転前のサーバーのままなので閲覧者に影響がなく確認作業ができますね。

000a.bizだと独自ドメイン登録にはネームサーバーの紐づけが必要で、独自ドメイン登録時に自動でディレクトリ作成されるので、先にディレクトリ作成してWordPress入れて、データベースもインポートしてからネームサーバーの変更と独自ドメインの登録という、一か八かの方法でしたから、これはありがたいです。

登録の時にクレジットカードなどの支払い情報は不要で、お試し期間も30日間もあるので、じっくり確認作業ができます。

困ったときのサポートの対応も良いです。

mixhost

追伸

PHP設定ファイルのあるディレクトリを編集するとPHPでMySQLが読みだせないトラブルについて、対策の検討をお願いしました。今後、対策がされることを祈りながら期待しています。

【追記】2017/02/23にPHPソースが見えるサーバー障害発生

2017/02/25追記

この記事を投稿して、約3時間後に大きな障害が発生していました。管理人が使用しているサーバーは該当しておらずネームサーバーも変更していなかったので問題ありませんでしたが、Twitterでは色々と問題になっているようです。

そして、mixhostの障害情報はこちら

平素はMixHostをご利用いただきありがとうございます。
この度、ご利用中のサーバーにおいて、以下の障害が発生しております。

・アクセス不能

障害原因を調査しました結果、基幹システムに重大な問題が発生し、
復旧が困難である事が判明いたしました。
つきましては、お客様のデータを全て新しいサーバーに移動させていただきます。

新しいサーバーへの移動に伴い、サーバーのIPアドレスが変更となります。
弊社のネームサーバーをご利用中のお客様につきましては、
自動的にレコードを修正させていただきますので、特に作業は必要ございません。

中略

障害の原因につきましては、弊社で検証済みのソフトウェアのアップデートを
実施しましたが、想定外の不具合が発生し、基幹システムに重大な
障害が発生した為、復旧が困難となる状況でございました。

今後、検証の強化を含め再発防止に努めてまいります。
ご利用中のお客様には大変ご迷惑をおかけいたしましたことを深くお詫び申し上げます。

日時:2017/02/23 19:40 – 2017/02/24 06:00

mixhost「障害・メンテナンス情報」より

つまり、基幹システムに障害が発生してサイトにアクセスできない。サーバー復旧見込めないから別のサーバーにデーター移行するよ、との内容です。

また、再発防止の対応について以下の内容が追記されています。

[再発防止につきまして]
弊社では、同様の問題を起こさないよう再発防止策として、次の対策を実施いたします。

・全サーバーにおいて今後問題が発生する可能性がないか、再点検を実施いたします。
・開発、運用プロセスの見直しを行い、より安定したサービスをご提供できる体制を確立いたします。
・検証作業の強化、及びシステム変更プロセスの見直しを行い、障害の発生を未然に防止いたします。
・障害発生時の対応マニュアルを整備し、より迅速な復旧が行える体制を確立いたします。
・基幹システムの大幅な見直しを行い、より安定したサービスをご提供できるよう改善いたします。
・2次バックアップの取得など、データの保全性をより向上いたします。

mixhost「障害・メンテナンス情報」より(2017 2/26 更新)

ここで、一番の問題はWordPressのwp-config.phpのソースが見れたこと。一時的に見れたということでサーバーの通信を遮断したようです。

wp-config.phpには、データベースのユーザー名・パスワードの情報がそのままで入っているので、ソースが見れるということは極めて重要な問題です。

しかし、DBのアカウントがバレても外部からログインできまんせと、公式ツイッターでツイートしています。

mixhostには外部接続可能な「リモートMySQL」という機能がありますが、登録してあるホスト以外はブロックするようになっています。管理人も試して確認済みです。

すぐに、不正アクセスが及ぶことはなさそうですが、念のためDBのユーザー名とパスワードを変更するとよいでしょう(その場合、wp-config.phpのDBのユーザー名・パスワードも変更となります)。

wp-config.phpを見れなくする対策は

で、対策として思ったのが、ソースを見れないようにすること(あたりまえですが)。

素人的な考えですが、wp-config.phpが見れた経緯は分かりませんが、PHPのソースが見える現象は、例えばApache入れたサーバーにPHPが入ってない状態でphpファイルをアップロードするとソースが表示されるのと似ているかと思います。

どうやら、勝手に見れたのではなくPHPのソースが表示され「/wp-config.php」にアクセスると見れたたようです。

調べていくと、以下のサイトの方法が使えるのでは?と思いました。

【保存版】WordPressのセキュリティを強化する24の方法
Photo by Gratisography WordPressは世界で最も使われいるコンテンツ管理システム(…

『12. wp-config.phpのアクセスを制限する』を参照。

.htaccessで「wp-config.php」を見れなくするってこと。

素人考えですけど、WEBサーバー(Lite speed)が止まっていればサイトそのものが表示されないので、恐らくPHPが止まっていたのではないかと思います。なので、「.htaccess」が使えるんじゃないかと。(.htaccessも機能しなかったら使えないかもしれませんが

実験

サーバーにPHPがインストールされていないとして、ローカルでVirtualBoxにCentoOSとApacheを入れて確認しました。

正常に動作しているとき

PHPが入っていないとき(index.php)

同じくwp-config.php

「http://url/wp-config.php」からwp-config.phpにアクセスています。

ソースが表示されデータベースのログイン情報が分かります(ローカルなのでログイン情報は適当です)

続いて、「.htaccess」で「wp-config.php」にアクセス制限をします。

403エラーで表示されなくなりました。

ソース

上記サイトを参考にしたソースです。

<files wp-config.php>
  Order allow,deny
  Deny from all
</files>

これを「.htaccess」に下記に追加します。

こんな感じです。

グーグル先生から出てきたWeb制作ナビさんには感謝いたします。

今回の障害対策のまとめ

久しぶりに、VirtualBox使ったら、入れてたCentOS削除してたみたいで、インストールからワードプレスが使えるまでの構築に午前中フルに使ってしました(^^;

この方法が実際に効果があるのか分かりませんが、.htaccessで「wp-config.php」にアクセス制限をかけているので、セキュリティ対策としての効果は高いかと思います。

mixhostは運営してまだ1年未満の会社ですが、再発防止策をとるとのことで、今後の対応が見極めるかの鍵になるかと思います。なので、経験が浅いかもしれませんが、日本初の「LiteSpeed」を採用しているので、ノウハウを蓄積し、頑張ってもらいたいです。

スポンサーリンク

当ブログのレンタルサーバーは『mixhost』で運営してます。

フォローする

スポンサーリンク