WordPressのセキュリティは「基本的」なことが大事!

WordPressのセキュリティは「基本的」なことが大事!

WordPressの世界のシェアはとても大きいものになっています。
今ではWebのことに詳しくなくても何となく「WordPress」っていうCMSがあるくらいは知っていることが多いようです。

よく「WordPressでサイトを作って欲しい」とご依頼いただくのですが、
発注する側のクライアントがWordPressのことをよく知らないのに、そのような発注を出すことが少なくありません。

オープンソースでシェアが高いということもあり、攻撃の対象になることが多いです。

実際ウチのクライアントでも、ファイルの書き換えをされたサイトもありました。

では、どうしたらいいの??

やみくもに「怖がって」いても仕方がありません。

私たちが言うのは、
『用心にこしたことはありませんが「絶対にアタックもしくは書き換えされない」というものを作るのは不可能に近いと考えられます。
ですので「やられたらどうするか」を考えておくことが必要』
ということです。

まずは「基本的なこと」が出来ているかチェック!

基本的なことってどんなこと??

● WordPressは最新のものを使っていますか??

WordPressのバージョンアップはセキュリティ面も考慮したバージョンアップをしているケースも多く、これをしていないことでセキュリティが甘くなります。
WordPressのバージョンアップは突然ダッシュボードからクリックだけでバージョンアップはしないでくださいね!!
WordPressのバージョンアップ!その前に」を参照してください。

● プラグインは最新のものを使っていますか??

WordPress同様、セキュリティのことを考えればバージョンアップは必要でしょう。
また、WordPressだけバージョンアップするとプラグインと不具合を起こす可能性もありますので、WordPressとバージョンアップはワンセットで行いましょう。

● 必要ファイルのパーミッションは全開になっていませんか?

WordPressは多くのphpファイルで構成されています。
パーミッション全開(777)にしておくと、そのファイルを狙われる場合があります。
ご利用のサーバーで推奨されるパーミッションがあると思いますので、必ずそのように変更をしてください。

● パスワードは短すぎたり、簡単に思いつくものではありませんか?



管理画面へのログインの際に使われる「パスワード」ですが、短すぎたり他人が安易に思いつくものにしていませんか?
例えば「株式会社ABC社」という会社のパスワードを「ABCABCABC」などにしたり、会社の創立年月日にしたりするなどは、利用するが側としてみたら「忘れない」でいいと思うのですが、他の人でも安易に思いつくものなので、突破されやすいです。

ですので、パスワードは数字や大文字・小文字が入り交じった英字にして、なるべく長めのものをご用意ください。

もちろんこれだけやれば、攻撃を受けないということではありませんが「最低限」やっておかなくてはいけないこととお考えください。
泥棒に狙われているかもしれないのに、家に鍵をかけずに外出することはしないですよね。
それと同じこと。
WordPressを使うなら、最低限のことは必ずやってください。

WordPressテーマの選び方

WordPressテーマ 選び方

WordPressテーマ、選ぶなら管理画面から

WordPressのテーマは無料から有料まで様々なものが出ていますが
検索エンジンで探すと悪意のあるテーマもたくさん出てくるようです。
「デザインが良さそうだったから」で選んでしまうのはNGですね。

管理画面で選ぶとアップデートにも対応しているので
最新のものをインストールできて安心です。

選び方については下記の記事が大変参考になります。
WordPressのテーマを選びにおける4つの原則|ウェブシュフ

テーマの検索方法

  1. 管理画面の外観>テーマ>新しいテーマを追加を選ぶ
  2. 希望の色やレイアウト、機能などにチェックを入れて「テーマを検索」をクリック
  3. 好みのテーマをインストールする

テーマ検索画面
テーマ検索結果

デフォルトテーマも現在3カラムでレスポンシブ対応の「Twenty Fourteen」が出ていて
デザインも良いのでそちらをカスタマイズするのも良い選択と言えそうです。

WordPress 3.7からマイナー更新は自動でバージョンアップ

WordPress 3.7からマイナーリリースは自動でバージョンアップ

セキュリティ更新などのマイナー更新は自動でバージョンアップされます!

WordPressを使っているとよくこんな画面が出てきますよね
204_img02

3.7→3.8はメジャー更新、3.8→3.8.1などはマイナー更新です。
WordPress3.7以降はこのマイナー更新は自動でバージョンアップしてくれるので
「また更新が出てる!」といったことがなくなり便利です。

wp-config.phpで設定変更できます

開発版、マイナー、メジャー更新すべて自動バージョンアップする

define( 'WP_AUTO_UPDATE_CORE', true );

開発版、マイナー、メジャー更新すべて自動でバージョンアップしない

define( 'WP_AUTO_UPDATE_CORE', false );

デフォルトはマイナー更新のみ自動でバージョンアップするになっています。

functions.phpで細かい調整も可能です

開発版(ナイトリービルド)更新を自動でバージョンアップする

add_filter( 'allow_dev_auto_core_updates', '__return_true' );

マイナー更新を自動でバージョンアップしない

add_filter( 'allow_minor_auto_core_updates', '__return_false' );

メジャー更新を自動でバージョンアップする

add_filter( 'allow_major_auto_core_updates', '__return_true' );

functions.phpでプラグインとテーマ更新も自動更新が可能

プラグインを自動更新する

add_filter( 'auto_update_plugin', '__return_true' );

テーマを自動更新する

add_filter( 'auto_update_theme', '__return_true' );

WordPressを安全に使うためにも、最新の状態にしておくのは大切ですよね。
ただし、メジャー更新やテーマなど、自動でバージョンアップするとサイトが真っ白に!
ということもありえるので、バックアップも定期的に行う必要があります。

【参考URL】自動バックグラウンド更新の設定 – WordPress Codex 日本語版

WordPressのカテゴリの順番を変更したい!  「Category Order」で解決です!

WordPressのカテゴリの順番を変更したい!  「Category Order」で解決です!

カテゴリーの順番変更は、1度全部削除してから登録し直し?

そんな事ありません!
ドラッグで簡単に、超簡単に順番変更可能です!

その名は「Category Order」

インストールは今回は省きます。
(プラグイン→新規追加→検索窓に「Category Order」と入れて検索したら出てきます。)

インストールして有効化したら投稿メニューの中に
「Category Order」が出てきます。

193_img02

クリックしたら登録のカテゴリーが出てきます。

あとはドラッグで順番変えるだけ!

193_img03

これならカテゴリが超たくさんあっても大丈夫、簡単です!
お試しあれ!

WordPressって危なくないの?

WordPressって危なくないの?

クライアントにWordPressを薦めると、かなりの確率で質問される話題です。

確かに「WordPressで改ざんされた」という事例はたくさんあります。
かくいう弊社も一度ありました。

だけど、これはWordPressだから改ざんされたのでしょうか?

他のCMSだったら狙われなかったのでしょうか?
それは違います。

2014年1月現在のMarket share trends for content management systems for websites

現在「http://w3techs.com」によると

  1. WordPress 60%
  2. Joomla 9%
  3. Drupal 5.5%
  4. Blogger 3.3%

という順位になっています。

WordPressが世界的によく使われているから、狙われやすく改ざんされた報告も多くあがります。

それって、WindowsとMacの関係も似ていませんか?

最近Macユーザーが増えたと言っても、日本でWindowsの普及台数の方が多いです。
実際、ウィルスにかかるパソコンはWindows機の方が多いと思います。

では、あなたの会社はウィルスに狙われる可能性が高いからWindowsをやめてApple製品に切り替えますか?
あまりそうは考えませんよね??

それよりウィルス対策ソフトを入れたり、ファイアーウォールを設置したり、
レンタルサーバーのウィルス処理の申し込みをしたりしますよね?

WordPressも同じです。

改ざんされる恐れがあるから、違うものを使うというのは本末転倒

それであれば、万が一改ざんされた時にどういう対策を取るのか、
改ざんされないために、なるべく最新のバージョンへしておくとかの対策を取りながら
WordPressの便利な部分を存分に使用した方がずっとメリットが高いです。

むしろ、あまりシェアの高くないものを使っていて改ざんされる事を恐れていない方が
私たちから考えるとずっと心配です。

便利なものとは上手につき合って行く体制を作って頂くことをお薦めします。
ハマ企画でも、体制作りのコンサルタントなどもしているので、心配な方はご相談ください!

WordPressをインストールしたら、必ず入れたいプラグイン XML Sitemap Generator for WordPress

WordPressをインストールしたら、必ず入れたいプラグイン XML Sitemap Generator for WordPress

必ず! いや、絶対にこの作業は行いたい!

なぜって、googleにサイト及びページを認識してもらうために必要なサイトの情報を
とても簡単に作ってくれるプラグインだからです!

いつものように、まずはインストールから!

プラグインメニューから「新規追加」→ 検索で・・・
「Google XML Sitemaps」こんな風に入れて検索してください。

一番上に出てきます。
174_img02
インストールしてください。

インストールしたら勿論「プラグインの有効化」をしてくださいね。

有効化したら設定の中に「XML-Sitemap」というのがいます。
そいつをクリックしてください。

174_img03

すると、
「サイトマップはまだ構築されていません。こちらをクリックしてまず構築してください。」

クリックすればあら不思議!

もうsitemap.xmlが作成されています。

WordPressにソースコードを表示させたいなら「 SyntaxHighlighter Evolved」

WordPressにソースコードを表示させたいなら「SyntaxHighlighter Evolved」

SyntaxHighlighter Evolved を使えばWordPressにソースコードが表示できる

「SyntaxHighlighter Evolved」はブログでhtmlやCSS等のコードを紹介したい時に使えるプラグインです。

設定方法

インストール

WordPressのプラグイン>新規追加で「 SyntaxHighlighter Evolved 」を入れて検索すると出てきますので
「いますぐインストール」をクリックしてインストール、有効化してください。

SyntaxHighlighter新規追加画面

表示させたいソースコードをショートコードで囲むだけ

[code lang="js"]ここにソースコードを入れます。[/code]
[html]ここにソースコードを入れます。[/html]

htmlやcssのように言語をタグとして入れることも可能です。

ハイライト表示をしたい行がある場合は
html highlight=”7″のように行番号を指定すればできます。

使えるタグ等は設定画面を見ると載っています。

実際の表示

<h2>WordPrdssにソースコードを表示させたい</h2>

<p>ショートコードでソースを囲むだけで表示できます。</p>

<p>設定画面も日本語なのでわかりやすいです。</p>

<p>ハイライトを入れることもできます。</p>

設定画面

日本語なのでわかりやすいです。

設定画面
デフォルトは白背景ですが、テーマから様々な背景に変更できます。

WordPressでZen-Coding! 作業効率アップで一度使うとやめられない!

WordPressでZen-Coding

htmlソースで投稿する方は絶対オススメ!

Dreamweaverではおなじみ?のZen-Codingですが、WordPressでも使用可能です。
htmlのソースで記述する場合にはものすごく重宝します。

このプラグインを入れると
通常このようなソース

<hタグ> </hタグ>
<p></p>

<dl>
	<dt></dt>
	<dd></dd>
</dl>

<ul class="navigetion">
	<li></li>
	<li></li>
	<li></li>
	<li></li>
	<li></li>
</ul>

なんてソースが

hタグと記述して 「ctrl+E」
を押すとあら不思議!
一瞬でと記述されます。

まぁ単独ダグではまだまだ実感出来ません。
例えばこんな風に記述して

ul.navigation>li*5

そして先ほどと同じように「ctrl+E」と押してみてください!

あら、あら不思議!

<ul class="navigation">
	<li></li>
	<li></li>
	<li></li>
	<li></li>
	<li></li>
</ul>

本当に時間短縮ができますよ!

使ってみれば必ず分かる!

その便利さは使えば必ずわかります!

まずはインストール

プラグインのインストール
プラグインのインストール

「プラグイン 新規追加」から 検索窓に「WP Zen-Coding」と入れて検索してください。

「今すぐインストール」をクリックして、「有効化」してしまえばもう時間短縮はすぐ目の前!

ショートカットキーで色々出来るわけなのですが、
WordPressの設定の中に「Zen-Coding」がいますから、ショートカットキーはそちらから確認できます。

まずは
「ctrl+E」これを覚えて使ってみてください!
基本的には

#

がid、

.

がclass、

>

が子供の要素となります。
*をつけると同じタグを繰り返し使いたい時に*+数字で
例えば

li*5で
<li></li>
<li></li>
<li></li>
<li></li>
<li></li>

と記述できます。

WordPressにPDFを直接埋め込めるプラグイン「Embed PDF」

WordPressにPDFを直接埋め込めるプラグイン「Embed PDF」

WordPressにPDFを直接埋め込みたい時には Embed PDF で

Embed PDFを使うと、Googleドライブビューアを使用してWordPressでPDFを表示させることができます。

注意

プラグインの更新が2年前で止まっているので、最新バージョンだと不具合が出るかもしれません。

設定方法

インストール

WordPressのプラグイン>新規追加で「 Embed PDF 」を入れて検索すると出てきますので
「いますぐインストール」をクリックしてインストール、有効化してください。

Embed PDF新規追加画面

PDFファイルをアップロードし、表示させたいページ(投稿)にショートコードを入れる

PDFファイルをアップロードして、URLをコピーしておきます。

表示させたいページ(投稿)に、以下のショートコードを入れて保存すれば完了です。
ショートコード

実際はこんな感じで表示されます

Unable to display PDF
Click here to download

リダイレクト 設定の Permalink Redirect は2種類あるのでご注意を

なるべくやってはいけないこと、パーマリンクの変更

やってしまいました パーマリンクの変更。
ウェブマスターツールをみたらページが見つかりませんエラーが。

調べてみるとWordPress SEO by YOASTを入れたことが原因

WordPress SEO by YOASTを入れると最初に次のようなアラートがでてきます。

You do not have your post name in the URL of your posts and pages, it is highly recommended that you do. Consider setting your permalink structure to /%postname%/.

ここでついつい慌てて[Fix it]をクリックしててしまうと[/%postname%/]が発生してしまい、
いままでの投稿がエラーになってしまったりします。

たぶん戻す方法はあると思いますが、これを現状と受け止めて「パーマリンクをリダイレクトすればいいや」と思ったわけです。

Permalink Redirectでも導入しようと思ったら

一番いいのはPermalink Redirect WordPressの管理画面から探すと一番上にでてくる
Permalink Redirect_01

インストールをすると
「あれ?」
設定の中に[Permalink Redirect]がいないのです。
設定メニューに出てこない。

[WordPress]パーマリンクの変更時に便利!新しいパーマリンク構造のURLへリダイレクトしてくれるプラグイン「Permalink Redirect」をみてみると、同梱されているファイルに”ylsy_permalink_redirect.php”が存在しません。
これがないと301リダイレクトができない。

???

もうちょっと調べると、「開発中止したらしい」と言う記事。
プラグインの開発者をみてみるとWordPress SEO by YOASTと同じ、でPermalink Redirectの「続きは~~」と書いてある。

Permalink Redirect_02

どーもおかしい
絶対おかしい。

2種類いる Permalink Redirect

再度調べたら出てきました WordPress 3.3.1 パーマリンク変更後をリダイレクトするプラグインの動作検証

Permalink Redirect →動作◎
同じ名前のプラグインが2つあるので注意!

やっぱり

本物は ここ → http://scott.yang.id.au/code/permalink-redirect/

Permalink Redirect

全くべつものです。

でインストールをするとちゃんと設定にでてきます。
Permalink Redirect

Permalink Redirectを設定する

その前にPermalink Redirectをダウンロードしたら次の手順をお忘れなく

ylsy_permalink_redirect.phpを編集

302を301に変更

    function wp_redirect($location, $status=302)

プラグインのインストール
変更したらもとの場所に戻して圧縮してアップロード

uploead

設定しましょう
Permalink Redirect_05

Old Permalink Structuresに古いパーマリンクを入れてUpdate Optionsで完了

まとめ

PermalinkはSEOの生命線です、変更はしないように、してしまった場合は
”Permalink Redirect”
Permalink Redirect  は2種類あるのでご注意を!