◆ 最悪なハマり方をしないための、Wordpressを始める上での注意
目次
◆ WordPressを始める上での注意
◆【後悔したり、無駄な時間を費やしてしまわないために、WordPressを始める前に必ず知っておくべきこと】
(01)動作が重いので 本格的にやる予定なら高速・パワーのあるレンタルサーバが必要
(02)プラグインは便利だけどメモリやCPUに負荷をかける=サイトが遅くなることも??
(03)自分でも忘れてしまい放置状態になったWordPressが最も危険だそうです
(04)WordPressの「自動更新」やプラグインの「手動更新」などで動かなくなることがある
(05)バックアップは簡単だけどそのデータの復元が素人には難しく、また信頼性が高いわけでもない
(06)クラッカーに狙われやすい上にセキュリティ設定が私たち素人には難しい
(07)基本設定をいじるだけであっけなくサイト崩壊するので私たち素人は要注意
(08)複数のWordPressをインストールすると更にサーバのパワーを必要とする
(09)会社やお店のホームページとしてやりたいなら稼働前のテストとしてバックアップと破壊と復元の体験が必須
(10)テスト用の格安レンタルサーバも用意が必要な場合もあるかもしれない
(11)503エラーが増えてきたら引っ越し時かも?
※Homeキーを押すと、すぐに目次に戻れます
WordPressは有名かつ大変便利なブログシステム(?なんでしょうか?)です。
でも有名で便利、かつ、利用者数がすごく多いので、クラッカー(悪い人)たちの格好の餌食ともなりやすいそうです。
また、私たち素人にとっては、「カスタマイズ」がしやすいようでしにくいです。
例えば細かいところを変えたくても、それをやるにはWebやHTML関係の知識がかなり必要です。
安易に始めてしまうと・・・
「普通にホームページビルダーとか初心者用のソフトでやっとけばよかった。今までの時間、返してほしい。」
と後悔することにもなりかねません。
特に、個人利用ではなく「会社やお店のホームページとしてWordPressを利用したい」と考えたときは、思わぬ落とし穴がいっぱい待っています。
かなり「社会的責任」について考えないといけなくなるので思った以上に注意が必要です。
理由は、WordPressサイトの乗っ取りがランサムウェアの拡散につながったりした事件があったからです。
TVニュースでも報道されていました。
ランサムウェアとは、パソコンのデータを暗号化して身代金要求をするウィルスです。
よくわかっていませんのですみませんが、どうも放置してしまったWordPressを使ったレシピサイトなどが犯罪に利用されたようです。
放置していた人がどれくらいの損害賠償を請求されたかとかはわかりません。
参考URL
「STOP!ランサムウェア」 WordPress運用者による拡散防止のための脆弱性対策
https://www.brain-solution.net/blog/web-product/stop-ransomware/
WordPress改ざん被害を誘発するクロスサイトスクリプティング(XSS)の脅威
https://www.brain-solution.net/blog/wordpress/xss/#02
検索語句:「WordPressサイト 乗っ取り ランサムウェア 拡散」
・・・とは言うものの、でも、WordPressは実際に使ってみると、やっぱり便利です~。
特にカテゴライズされた備忘録のようなものを作るには本当に便利です。
小さなお店ならブログ付きのホームページを変な広告無しに作ることもできます。
私たち素人には少々敷居の高い「WordPress」ですが、なんとか使えるように私もなってみたいので一緒に勉強していきましょう。
とりあえずこのサイトでは私が「WordPress初心者」として経験したことを書いていきたいと思います。
WordPress初心者がどこに気を付けて、どう初期設定したらいいかをある程度書いていきたいと思いますので、もし皆さんの参考になることがあればうれしいです。
◆【後悔したり、無駄な時間を費やしてしまわないために、WordPressを始める前に必ず知っておくべきこと】
(兼任社内SE目線です。)
(01)動作が重いので 本格的にやる予定なら高速・パワーのあるレンタルサーバが必要
WordPressはもともと動作が重いです。
従来のホームページと比べると、相当、表示速度が遅いです。
なので、もし「会社やお店のサイト構築」として本格的にやりたい場合や、もしくは、元からデータ量が多くなりそうな場合などは、「高速・高機能なレンタルサーバー」が必要です。
そのため、できれば共用サーバは避けたほうがいいそうです。
共用サーバとは1つのサーバの中に複数の同居人が居るサーバのことだそうです。
何人の同居人が居るのかは分かりませんが、いずれにしましても他のお客さんと共に1つのサーバをシェアするわけですので、その分、CPUを独り占めできない=CPU目線からすれば複数人のたくさんのプログラムをいっぺんに動かさなきゃならない、ので、どうしても遅くなるそうです。
また、複数の同居人が居ることでセキュリティ的にも危険度が増すそうです。
(過去に大々的なWordPressサイトがらみのセキュリティの事件があったのも共用サーバだそうです。他人の部屋から自分の部屋に入られちゃう、みたいな感じだそうです。とはいうもののの、私も現時点では共用サーバでこれを書いているのですが・・・(^^))
(02)プラグインは便利だけどメモリやCPUに負荷をかける=サイトが遅くなることも??
WordPressでは「プラグイン(一種のプログラム)」というものを使って、素人には困難な機能追加がラクにおこなえるようになっています。
「プラグイン」を使うとサイト全体の機能を向上させたり、バックアップや復元をできるようにしたり、文章を書く機能を向上させたり、セキュリティを向上させたり、SNSと連動させたり、と、いろいろなことができるようになります。
とても便利な「プラグイン」ですが、でも、多分、特にセキュリティ関係のプラグインだと思いますが、常にCPUパワーやメモリを消費してしまうようなものもあるようです。(まだどれがどうなのかわかりませんが、プラグインをインストールしたのちに、明らかにサイト全体の速度が落ちることがあるのでそれで分かります。)
そういったプラグインを減らすためにも、セキュリティがもとからしっかりしたレンタルサーバでもともとパワーのあるサーバを借りたほうがよいと思います。
プラグインを一つも入れてないと、それほど遅いとは感じないのですが、増えれば増えるほど、遅いと感じます。
また、プラグインが多ければ多いほど、セキュリティリスクは上がるそうで、特に「更新」をサボっている場合はリスクが増すそうです。
次項の「放置がアブない」と言われるのもこういうことも要因のひとつだそうです。
(03)自分でも忘れてしまい放置状態になったWordPressが最も危険だそうです
例えば気軽に始めてテストして、でもよくわからなくて使わなくなってしまい、で、そのまま忘れてしまい、放置してしまったWordPressサイトが一番危ないそうです。
過去に作ったまま消し忘れたWordPressサイトが自分のレンタルサーバ内に無いか、チェックが必要です。
FTPクライアントソフトでアクセスして見慣れないフォルダがあったら調べてみる必要があります。
(サブフォルダをいくつか開いて wp-admin というフォルダを見つけたら、もしWordPressを使っている自覚がなければ、それはWordPressの消し忘れです。もしくは他の従業員さんなどが勝手に始めたとか・・・。いずれにしてもチェックが必要です。)
(04)WordPressの「自動更新」やプラグインの「手動更新」などで動かなくなることがある
WordPressやプラグインには、新機能の追加やセキュリティ機能のアップを図るために、WindowsUpdateのような「更新」があります。
でも、その「更新」を行ったときに、何かの兼ね合いでWordPress全体が動かなくなることがあるそうです。
管理画面にログインできなくなることもあるそうです。
そのため、バックアップと復元は必須なんだそうです。
(05)バックアップは簡単だけどそのデータの復元が素人には難しく、また信頼性が高いわけでもない
WordPressはバックアップは割と簡単です。
基本的にバックアップにはバックアップ用のプラグインを使うからです。
(MySQLデータベースやPHPプログラム、CSS、HTML、CGI、などに精通している人以外はプラグインでのバックアップをすることになるかと思います。バックアップ用の市販ソフトも探せばあるのかもしれません。プロの人はどうしているかわかりません・・・。多分無料のプラグインを使っているプロが多いのだと思いますが・・・。)
ただ、そのバックアップで注意が必要なことあります。
それは、データ量が増えるとサーバのパワー不足等々でバックアップが失敗することがあるらしい・・・ということです。
そしてそれは、「復元」するときも同じなようです。
サーバのパワー不足やその他の要因で復元も失敗することがあるらしいです。
ということはつまり、例えば、何かあったときやレンタルサーバを引越ししたいときに、「バックアップデータが完全に復元できる保証がない」ということです。
ちょっと困りますね。
もちろん、9割以上は確実にバックアップも復元もできると思いますが、でも、確実ではないみたいです。
結局、バックアップソフトと復元の成功率は、レンタルサーバとの相性(あるいは共用かどうかとかサーバにパワーがあるかどうか)などで決まってしまうみたいですね。
WordPressを始めるときに画像や動画をたくさん扱いたいときは、絶対に高速かつ高セキュリティなサーバ以外は無理っぽいですね。
当サイトみたいにほぼテキスト書くだけのサイトならそこまでじゃなくてもいいとは思いますが・・・。
そんな感じでバックアップと復元は、その動作や成否がレンタルサーバのパワーやその他の要因に依存するようなところがあり、100%までは保証されないので、バックアップや復元のやり方自体が異なるプラグインを、2つくらいは使うことになると思います。私も2つ、使っています。
また、もし復元できなかったときは、一から作り直しになる可能性がゼロではないということにもなります。
そのようなときに、もし時間がなかったり自社にとって重要なサイトになりつつあったら、「プロに頼んで直してもらう」ということも視野に入れないといけないかもしれません。
MySQLデータベースとWordpressのテーブル構造、データ格納場所と各種内容に精通していれば 自力で直せるかもしれがませんが、私たちのように「ちょっとブログが書ければいい、という使い方をしたいだけの場合」は、まずそんなことはできませんので、もし急いでいるときはプロに頼んで直してもらうほうがいいと思います。
日ごろから、もしプロに頼むならどこに頼むか?、などを決めておかないといけないと思います。
あと、バックアップを行った際は、そのバックアップデータは基本的にはレンタルサーバ内に蓄積されます。
なので「自動バックアップ」にしてしまうと、どんどんと自社のサーバスペースの容量を食っていってしまいます。
ですので、ある程度の量をバックアップしたら、自分のパソコンの中にダウンロードして、レンタルサーバ上のバックアップデータは消す必要があります。
プラグインによっては、そのバックアップデータもバックアップしてしまうので、気が付いたらバックアップデータだらけ、雪だるま式にバックアップデータが激増する、ということにもなりかねません。
注意が必要です。
多くのプラグインでは、Dropboxなど別の場所にもバックアップできるようですが、通信しながらバックアップするのがどうも不安といいますか、バックアップデータが正常に書き込まれなくて破壊されており 復元に失敗しやしないか?と心配になったりもします。(ZIPファイルのダウンロードなどでも壊れてダウンロードされるときがよくありますので・・・)
実際私はそうで、なので、バックアップデータをいったんちゃんとレンタルサーバ上にバックアップしています。
それから、それをすぐに、自分のパソコンにダウンロードしています。
私はいまのところ、WordPressやプラグインの更新をする前に手動でバックアップし、すぐにダウンロードしてサーバ上からはバックアップデータは消しています。
このやり方がいいのか悪いのかわかりませんが、WordPressは基本、無料なので「保証されない」ことが前提ですから、泣きをみないためにも、一応、不安要素は消すようにしています。
心配しすぎかもしれませんので、みなさんにおかれましては「そんな必要ない」とご判断できた時点でここに書かれたことはスルーしてください(^^)。
※後で調べてみたら、いったんサーバ内にバックアップされてからDropboxに送られるみたいなので、大丈夫っぽいです。失礼いたしました。
(06)クラッカーに狙われやすい上にセキュリティ設定が私たち素人には難しい
有名すぎるブログシステムのため利用者が多く、そのためにクラッカーに狙われやすいそうです。
ですので自力でセキュリティ対策が取れないうちは稼働させないほうが無難です。
特にFTPクライアント操作とファイルのパーミションについて意味がわからないうちはやめておかないといけません。(そう言ってる私自身が、大して分かっていませんのですみませんが・・・)
そのような状況のまま、WordPressサイトの解説を強行してしまうと、万が一セキュリティに問題があった場合に、(運が悪いと)サイト自体をレンタルサーバー会社から強制閉鎖させられたり、どこかから賠償責任を負わされたりする可能性があります。
そのような可能性もありますので、もし「今契約しているレンタルサーバがセキュリティ上やパワー上WordPressに向かない」、とか、「多少の機能不足を自力でなんとかできるという状態ではない」といったようなときは、Wordpress専用に別途のレンタルサーバーを借りないといけい場合も出てくるかもしれません。
参考URL
格安レンタルサーバー一覧&安い理由と問題点
http://レンタルサーバー比較まとめ.com/rentalserver/post-204/
特に現在のレンタルサーバーに以下の機能が標準装備で無い場合は、別途にWordpress専用にレンタルサーバーを借りるほうが無難かと思います。
・WAF
・phpMyAdmin
「WAF」はWordPressサイトのみならず、レンタルサーバ全体をWebからの不正攻撃から守ってくれるファイアウォールです。WAFがあると、私たち素人にとっては、セキュリティ設定に抜けがあった場合でもそこそこ安心できます。
逆に言うと、これが無いと、かなりセキュリティの勉強をしないといけません。
通常のファイアウォールとは少し意味合いが違うので、よく理解しておいたほうが良いと思います。
当サイトでも、「WAF」が本当に効いてるかどうかをチェックする方法を少し書きました。
(とても面倒なので良い方法がほかにあったらそちらをお試しください)
参考URL
WAFではないですが、WAFが標準装備されていない場合のご参考にしてください。
WordPressサイトを乗っ取りから取り戻した話
(ファイアウォールプラグインと仕掛けられたマルウェア検出プラグインについて)
http://blogs.itmedia.co.jp/hiramoto/2016/10/wordpress.html
ワードプレスのセキュリティ対策[WordPress Firewall 2]プラグイン導入方法と注意点
http://punikok.com/archives/129
WordPress のセキュリティを簡単にアップしてくれる WordPress Simple Firewall プラグイン
http://loumo.jp/wp/archive/20140723235503/
「phpMyAdmin」は手動でセキュリティ設定をしたり、手動でバックアップを復元したりする際にはかかせないソフトです。レンタルサーバに標準機能として組み込まれている場合とそうでない場合があります。
標準機能として組み込まれていなければ自力でインストールするしかないのですが、自力でインストールする際は、Webセキュリティの知識が無いと、目的の作業に使ったあとに小さからぬセキュリティリスクになってしまうのでとても扱いが面倒です。レンタルサーの標準機能として組み込まれていれば、そういうことを考えずに便利に使えるので、できれば、「phpMyAdmin」が標準機能で付いているレンタルサーバがいいと思います。
【Wordpress】ログイン用ユーザー名とパスワード両方とも忘れてしまった時のphpMyAdminを変更しない初心者向け対処方
http://webtrace-cuisine.com/201305/wpphpmyadmin/
「phpMyAdmin」を使うと以下のようなこともできます。
【Wordpress】ログイン用ユーザー名とパスワード両方とも忘れてしまった時のphpMyAdminを変更しない初心者向け対処方
http://webtrace-cuisine.com/201305/wpphpmyadmin/
(07)基本設定をいじるだけであっけなくサイト崩壊するので私たち素人は要注意
WordPressを初めて数か月くらいたってから、途中でサイトのURL設定や一部の設定を変えたくなったときに、軽々にURLの設定を変えてしまうと、投稿や管理のためのログイン画面が現れず、サイトのお更新や管理が一切できなくなってしまうことがあります。
ログイン画面が出ない場合、「プラグインだけでバックアップも復元も両方ともやってしまう」というスタイルでのバックアップしかとってないとハマることがあります。
「プラグインだけでバックアップも復元も両方ともやってしまう」というスタイルでは、ログインしないと復元もできないから、です。
そのような場合は、いったんこれまでのサイトを全部消して、空のWordPressサイトを作成し、そしてログインしてからバックアップデータをプラグラインによって吸い込む形となると思います。
ただ、そのときに、何らかの理由で「開かなくなってしまったWordPressサイトを消すととても困る」といったような事情が発生したりするととても困ったことになります。
その場合、泣く泣くいったん閉鎖か、一から作り直しになる可能性があります。
そもそもバックアップがとってあっても復元できる確率が100%ではないので、空のWordPressを作ったからといって、100%復元されるかどうかも一応、保証はありません。高い確率で復元できるはずではありますが・・・。
いずれにしても復元に失敗した際は、一から作り直しとなるか、プロに頼んで直してもらうかしかなくなると思います。
※ただ前項にも書きました通り、「phpMyAdmin」というソフトを使うとユーザー名とパスワードを探し当てるようなこともできるようなので、基本設定を変えておかしくなった時も何か方策があるのかもしれません。
(08)複数のWordPressをインストールすると更にサーバのパワーを必要とする
レンタルサーバによっては複数のWordPressをインストールする(=WordPressサイトを作る)ことができるレンタルサーバもあります。
その場合も、サーバのパワーを必要とします。
なので、サーバ選びがとても重要になってくると思います。
私のレンタルサーバでもテスト用の空のWordpressを2つ目としてを作ったらなんだか重くなった気がしたので、テストが終わったら削除しました。
(09)会社やお店のホームページとしてやりたいなら稼働前のテストとしてバックアップと破壊と復元の体験が必須
もし会社やお店のホームページを作る際に、「WordPressを使いたい」、となったときは、稼働前にはバックアップとサイトの破壊と復元の体験が必須だと思います。
もちろんセキュリティも。
このサイトでは別の投稿にて、バックアップと復元、セキュリティで、かなりフラフラしながら私自身が試したことについて書いてあります。
(10)テスト用の格安レンタルサーバも用意が必要な場合もあるかもしれない
復元の確率を高めるために格安レンタルサーバを借りておいて、で、バックアップしたデータが正常に復元きるか(=正常にバックアップされているか)などのテストに使う、といったようなことが必要かもしれません。
もしくは自分でLAN内にLinuxでWebサーバを構築し、そこにバックアップデータが書き戻るかやってみるとか・・・
私もやり始めでよくわかっていませんが、そういうことも必要になってくるかもしれません。
参考URL
格安レンタルサーバー一覧&安い理由と問題点
http://レンタルサーバー比較まとめ.com/rentalserver/post-204/
(11)503エラーが増えてきたら引っ越し時かも?
WordPressの記事を書いたりいろいろ設定などを変えたりしている最中に、503エラーが続くときがあります。
もしかしたら、そういうレンタルサーバはやめておいたほうがいいかもしれません。
今の自分がそうです(^^)