これまでGoogleのマップサービスだったGoogle Maps APIsに代わって、2018年6月から新しく始まったサービスが「Google Maps Platform」です。これまでとは利用料金体系がガラリと変わり、7月16日より適用開始となります。
・Google Maps Platform
　

有料サービスのGoogle Maps Platform

これまでは有償版の「Google Maps APIs Premium Plan」と、無償で使えた「Google Maps APIs Standard Plan」に分かれていたのが統合されて有料のサービスとなりました。ユーザーが使った（呼び出した）回数に応じて料金が加算されていく従量制ですが、毎月使用した合計から200USドル分が無償となりこれを超えた分が課金対象となるようです。
・Google Maps Platform 料金表
　

無料で使える地図表示もある

また、すべてが有料というわけではなく、GoogleMapの機能「地図を共有または埋め込む」のようにAPIキーを使わずに表示する場合や、APIキーを使用しても「Embed API」のPlace modeやView mode、モバイルアプリ用のSDK「Mobile Native Static Maps」「Mobile Native Dynamic Maps」などを利用した地図表示は無料のようです。
　
これからGoogleMapを使ってWebページに地図を表示させるのであれば、多くの場合はGoogleMapの機能「地図を共有または埋め込む」で事足りるかと思っています。地図の移動や拡大縮小ができればほとんどの場合は十分じゃないかな。

　

地図を共有または埋め込むを利用して地図表示

Embed APIを利用して地図表示

　
「Embed API」を利用した地図表示と「地図を共有または埋め込む」で表示した地図の違いは感じられません。
このような単純に地図を表示させるだけならばこれまでと変わりなく使えるのですが、問題が起こるのは課金対象のサービスを使っていた時です。
　
メディアデザインでは「避難所はどこだ？ – 仙台市の避難所案内」という、地震や津波などの災害時に避難できる仙台市指定の施設や場所を表示するウェブサービスを開設してます。
このサービスでは現在地から近い避難所を探す機能と、現在地から避難所までの経路を示す機能に「Maps JavaScript API」と「Maps Embed API」を使っています。現在のところそれほどアクセス数が多くないので毎月の使用料は200USドル分を超えてはいませんが・・・・・
　
一日あたりのGoogle Maps API呼び出し回数に制限を設定していますが、それを超えてしまうと地図が表示されなくなります。

　
新しい料金体系は7月16日より適用開始となるので、今後どうするかそろそろ決めないといけませんね。
クレジットカードと請求先アカウントを登録すれば今のままで使うことはできますが、無料のサービスなのにそこまでするべきなのか悩みます。

請求先アカウントを追加しない場合、1 か月の使用量が 200 ドル超えたとき、Maps API が正常に機能しなくなったり、他の API リクエストでエラーが返されたりする可能性があります。
価格と請求に関する変更Q:クレジット カードまたは請求先アカウントが必要ですか？

これによると請求先アカウントを登録せずとも継続して使うことは可能のようです。
とはいえ、代替策があった方が良いのでちょっと考えています。

週明けの月曜日から届き始めたSPAMメールの中に、似たようなエクセルファイルが添付されているものが３通ありました。
　
どのメールも本文は短く、一応ビジネスメールを装っていますが社名が変だったり無かったり、担当者や住所が記入されていませんから直ぐにゴミ箱行きです。

１通目

タイトル：注文書よろしくお願いします。
添付：2445.注文書(2018.06.26).xls

　

２通目

タイトル：添付ファイルをご確認下さい。
添付：8224_6月.xls

　

３通目

タイトル：2018.6月分請求データ送付の件
添付：1834_6月.xls

　
添付されていたエクセルファイルはどれもマルウェア（悪意のあるプログラム）が仕込まれていました。いわゆるトロイの木馬型のコンピュータウィルスです。
このマルウェアを含むエクセルファイルは、Windows Defender セキュリティセンターで検出可能でした。

このようなメールに対する注意喚起は、日本サイバー犯罪対策センターのページ：犯罪被害につながるメール INDEX版にも掲載されています。

ウエブサイトを開設していると外部からの攻撃に対するセキュリティに気をつける必要があります。様々な攻撃に対処するにはいくつもの方法がありますが、その一つにWAF（ウェブアプリケーションファイアウォール）があります。
WAFは、ウェブサイトに対するクロスサイトスクリプティングやSQLインジェクションなどの攻撃パターンを検知してブロックします。多くのレンタルサーバーではこのWAFの機能を装備しており、より安全なサイト運営ができるようになっています。

ワードプレスとWAFの関係

ところが、このWAFの影響でワードプレスを使っているときに管理画面であるダッシュボードからの更新作業ができなくなることがあります。

スタイルシートをちょっと変更、なんて時にカスタマイザーは便利なのですが、時間をおいても公開できません。
　
先程のWAFが、ワードプレスの更新作業を攻撃パターンと認識してブロックしているようです。
プラグインなど、他に原因があることもありますが、投稿の編集や新規追加ができるのに、カスタマイザーだけがおかしい場合はWAFが原因の可能性が大です。
　

ロリポップWAFの設定

レンタルサーバーのロリポップを例にあげると、サーバーのWAFの設定はドメインごとに切り替えができるようになっています。（ユーザー専用ページ＞セキュリティ＞WAF設定）
１　ドメインの一覧にWAFが有効になっているかどうか設定状態を見ることができます。
２　有効と無効を切り替える設定変更のボタンがあります。
３　攻撃として記録されたログを見ることができます。
　
ここで、問題のあるドメインのWAFを無効にして、ワードプレスが正常に動くようになるかチェックします。
［無効にする］ボタンをクリックしていったんWAFを無効にします。
すぐには設定変更が反映されないので10分ほど待ってからワードプレスで更新作業をしてみます。
何事もなく更新作業が公開されればWAFが原因ですね。WAFを無効にしたままだとせっかくのセキュリティが無駄になってしまいます。更新作業のたびに無効と有効を切り替えるのも面倒です。何かいい方法はないでしょうか？
　

WAFのログを見る

３　WAF設定の［ログ参照］をクリックしてWAFが検知してブロックした記録を見てみます。

４　ドメイン名　ワードプレスを公開しているドメインです。
５　アクセスした日時から自分自身がアクセスしたログかどうか判断します。
６　攻撃と判断されたURL
７　アクセス元のIPです、自分のアドレスか判断します。
８　検出されたシグネチャは、攻撃パターンの定義です。
本当に外部からの攻撃を受けていないのであれば、カスタマイザーで［公開］できなかった分のログが記録されているはずです。
全部自分自身のアクセスですからアクセス元IPはすべて同じはずですので、このIPからのアクセスのWAFだけを無効にすればセキュリティを損なわずにできそうです。
　

IPアドレスを使ってWAFを無効にする

IPアドレスを使ってWAFをコントロールするには.htaccessファイルの書き換えをします。
ワードプレスをインストールしたディレクトリにある.htaccessファイルの最後に以下のように追加しておきます。

<IfModule mod_siteguard.c>
  SiteGuard_User_ExcludeSig ip(xxx.xx.xxx.xxx)
  SiteGuard_User_ExcludeSig ip(ooo.ooo.oo.ooo)
</IfModule>

xxx.xxx.xxx.xxやooo.ooo.oo.oooの部分に７［アクセス元IP］で表示されている自分のIPを記入します。
自宅や職場など複数のIPからアクセスする場合はSiteGuard_User_ExcludeSig ip(ooo.ooo.oo.ooo)のように、複数のIPを追加しましょう。
※.htaccessファイルの書き換えに不具合があると、サイトが表示されないなんて事態にもなるので、バックアップを用意して書き換え前に戻せるようにしておくなど、くれぐれも慎重に行ってください。