WordPress運用でやらなければいけないこと（守り編）

Transcript

1. WordPress運用でやらなければ いけないこと（守り編） Webサイトは運用が9割！！WordPressのリスク回避について

2. 私のセッションは • 写真撮影OKです。ただしシャッター音など周囲 の人に配慮して撮影してください。 • Facebook,Twitter,InstagramなどのSNS投稿OK です。 私は写真アップ、タグ付けOKですが、受講者の 中にはNGの人もいますので、受講者本人が確認 できる形で写り込まない配慮をお願いします。

   • スライドはのちほどシェアしますので、重要な ところだけノートを取るようにし講義に集中し てください。 2018/5/5 Copyright ハルプレス 2

3. 太田晴信（おおたはるのぶ） 自己 紹介 • 1995年フィールドエンジニアとして社会人スタート • ソフトウェア会社でSE・プログラマを約9年 • 佐川急便などに仕事を転々 •

   2011年イトーヨーカドーに就職 • 2014年フリーのWordPressエンジニアとして、 Webサイト制 作を開始 • 2017年から社外のWeb担当者としてWebサイトの運用代行を開 始 • 戦略的Web運用プロデューサーとしてWebサイト運用のコンサ ルタント・運用代行を行っています 今ここ 2018/5/5 Copyright ハルプレス 3

4. WordPress歴 • WordPressと出会ったのは2012年12月 • ブログを運用したり、アフィリエイトサイトを作ったり していたが、自分でテーマ制作したいという思いから、 2013年6月に新宿へ4週連続で通ってテーマ制作を学ぶ • 2013年7月WordBench Nagoyaに初参加

   • 2013年8月WordFes Nagoya2013にスタッフとして参加 • 2014年8月WordFes Nagoya2014で初登壇 • 2014年9月本格的にWordPressサイト制作の仕事を受注開 始 • 2016年8月WordFes Nagoya2016で二度目の登壇 2018/5/5 Copyright ハルプレス 4

5. WordPressきちんと運用してますか？ • WordPressに限らずWebサイトは運用が9割と言 われるほど公開前の制作より公開後の運用が大 切です。 • 作って終わり、公開したタイミングがゴールに なっていませんか？ 2018/5/5 Copyright

   ハルプレス 5

6. Webサイトの２つのタイプ •自己紹介型（会社案内型）サイト •集客・売上アップ型サイト 2018/5/5 Copyright ハルプレス 6

7. 自己紹介型（会社案内型）サイト • インターネット上の名刺として存在するサイト • 会社概要、事業概要、取引先企業、採用情報な ど書かれてます。 • 更新はほとんどない。 • 銀行から融資を受けるときなどに必要

   2018/5/5 Copyright ハルプレス 7 自分（会社）の存在証明

8. 集客・売上アップ型サイト • インターネット上の支店として存在するサイト • 訪問者の問題を解決するコンテンツが書かれて います。 • コンテンツを追加・更新しつづけます。 • 訪問者に自社や商品・サービス興味を持っても

   らう→見込み客に育ててリストを収集→商品・ サービスを購入してもらうことを目指します。 2018/5/5 Copyright ハルプレス 8 支社・支店のひとつ

9. Webサイトの２つのタイプ •自己紹介型（会社案内型）サイト •集客・売上アップ型サイト あなたのサイトは どちらですか？ 2018/5/5 Copyright ハルプレス 9

10. 自己紹介型サイトの運用 • WordPressなどのCMSを使うのは得策ではありま せん。 • コンテンツの更新がほとんどないので WordPressのメリットはほとんど得られず、逆 に表示が遅い、セキュリティに難、制作費用が 高くなるなどのデメリットばかりを拾ってしま います。

    2018/5/5 Copyright ハルプレス 10

11. 自己紹介型サイトの運用 • WordPressなどのCMSを使うのは得策ではありま せん。 • コンテンツの更新がほとんどないので WordPressのメリットはほとんど得られず、逆 に表示が遅い、セキュリティに難、制作費用が 高くなるなどのデメリットばかりを拾ってしま います。

    HTML・CSSを駆使して静的サイトで 作るほうが無難です 2018/5/5 Copyright ハルプレス 11

12. 集客・売上アップ型サイトの運用 •集客・売上アップの施策 •リスク回避 •保守・メンテナンス 2018/5/5 Copyright ハルプレス 12

13. 集客・売上アップの施策 • コンテンツ（記事）の投稿 • SEO • Facebook,Twitter,ブログなどのSNSとの連携 • Web広告出稿 •

    アクセス解析・検証・効果測定 など… 2018/5/5 Copyright ハルプレス 13

14. リスク回避 • セキュリティ対策 • バックアップ 2018/5/5 Copyright ハルプレス 14

15. 保守・メンテナンス • 障害発生時のトラブル対応 2018/5/5 Copyright ハルプレス 15

16. 集客・売上アップ型サイトの運 用 •集客・売上アップの施策 •リスク回避 •保守・メンテナンス 攻めの運用 守りの運用 今回は守りの運用の中でもリスク回避についてご紹介します 2018/5/5 Copyright

    ハルプレス 16

17. WordPressの運用（リスク回避） • セキュリティ対策 • バックアップ についてご紹介します 2018/5/5 Copyright ハルプレス 17

18. セキュリティ対策 2018/5/5 Copyright ハルプレス 18

19. なぜセキュリティ対策が必要 か？ • WordPressは世界で最も使われているCMS（全サ イトの30％を超え、全CMSの60％強がWordPress で作ったサイト）それゆえに悪意のある人の ターゲットになりやすい 参考サイト: https://w3techs.com/technologies/overview/content_ma nagement/all

    • WordPress本体はもちろん、テーマやプラグイ ンもソースコードがオープンの形で配布される ので、悪意のある人に脆弱性が発見されやすい。 2018/5/5 Copyright ハルプレス 19

20. セキュリティ対策というと • クロスサイトスクリプティング対策…… • SQLインジェクション対策…… • ディレクトリトラバーサル……OSコマンドイン ジェクション…… • HTTPヘッダーインジェクション

    • セッション管理…… 2018/5/5 Copyright ハルプレス 20

21. セキュリティ対策というと • クロスサイトスクリプティング対策…… • SQLインジェクション対策…… • ディレクトリトラバーサル……OSコマンドイン ジェクション…… • HTTPヘッダーインジェクション

    これだけ聞くと難しい用語がたくさん出てき ててビギナーの人には「？？？」な部分が多 いと思います。 しかし、これらの多くは制作のセキュリティ 対策なのでみなさんがそれほど意識する必要 はありません。 2018/5/5 Copyright ハルプレス 21

22. WordPressのセキュリティ対策1 テーマやプラグインは公式ディ レクトリのものを使おう • テーマやプラグインはWordPress.orgに登録さ れている公式ディレクトリのものか、出処が はっきりしている信頼のおけるものを使いま しょう。 • 出処がはっきりしないものを野良テーマ、野良

    プラグインといいますがこれはつかわないよう にしましょう。 • 出処がはっきりしていても、今後アップデート には対応しないなど、保守面で対応なしの場合 は使わないほうが無難です。 2018/5/5 Copyright ハルプレス 22

23. WordPressのセキュリティ対策1 テーマやプラグインは公式ディ レクトリのものを使おう • 公式ディレクトリに登録されているテーマやプラグイン は厳しい厳しい審査を通過しています。よって対策も しっかりされており脆弱性やバグなどの不具合が少ない。 • 公式ディレクトリのテーマやプラグインは更新があった ら通知が出て教えてくれます。

    • バージョンアップもワンクリックでます。 2018/5/5 Copyright ハルプレス 23

24. WordPressのセキュリティ対策2 WordPress本体やテーマ・プラグイン は常にアップデートをして最新版に しておこう • WordPress本体やテーマ・プラグインは脆弱性 が発見されたとき、その脆弱性を改修したもの をバージョンアップという形で再配布してくれ ます •

    古いものは脆弱性があっても未対応なので脆弱 性は残っています。 • サイバー攻撃は日々進化しているので、更新が 2年以上停まっているテーマ・プラグインは使 用を控えましょう。 これは重要 2018/5/5 Copyright ハルプレス 24

25. WordPressのセキュリティ対策3 使っていないプラグインは削除 する • インストールしたけど使っていない（途中で使 用をやめたなど）プラグインは停止するだけで なく削除してしまいましょう。 • 停止しただけだとインストールはされているの で、そのプラグインの脆弱性からサイバー攻撃

    を受ける可能性があります • やみくもにインストールするのではなく、必要 なものだけをインストールしましょう 2018/5/5 Copyright ハルプレス 25

26. WordPressのセキュリティ対策4 ユーザー名にadminなどわかりやす いものは使わない • サイバー攻撃者は、ユーザー名とパスワードを アタックする（連打する）ソフトを使ってログ インし乗っ取ろうとしてきます。 • ソフトはユーザー名とパスワードを無作為に連 打してアタックするので、admin,user,rootな

    どよく使われるユーザー名だとパスワードだけ を突破すればよく、乗っ取られやすくなります。 2018/5/5 Copyright ハルプレス 26

27. WordPressのセキュリティ対策5 パスワードは複雑なものにする • 現在のWordPressは手動インストールすると推奨 するパスワードが指定されるので、それを利用す ることをお勧めします。 • レンタルサーバーが用意する自動インストールで は推奨するパスワードが使えない場合があります。 その場合は「ユーザー」＞「あなたのプロフィー

    ル」の「新しいパスワード」で変更してください。 2018/5/5 Copyright ハルプレス 27 これは重要

28. WordPressのセキュリティ対策6 wp-login.phpにアクセス制限する • 「wp-login.phpファイル」、「wp-adminフォル ダ」アクセス制限（ダブルパスワード）をして しまいます。 2018/5/5 Copyright ハルプレス 28

    これはやや難

29. WordPressのセキュリティ対策7 Akismet Anti-Spam (アンチスパム) でスパム対策する • Akismet Anti-Spam (アンチスパム)は最初から インストールされています。

    • 無料で使えますので、アカウントを有効化する ようにしてください。 2018/5/5 Copyright ハルプレス 29

30. WordPressのセキュリティ対策8 ログイン時にCAPTCHA認証する • Captchaプラグインを使ってログイン時に CAPTCHA認証します。 2018/5/5 Copyright ハルプレス 30

31. WordPressのセキュリティ対策9 セキュリティ対策用のプラグインを インストールする • おすすめは「All In One WP Security」 •

    All In Oneと名のつくだけあって、いろんなセ キュリティ上したほうがいい設定ができます。 • 他のセキュリティ対策プラグインと共存すると 干渉の可能性が有るので、その辺りは要注意 2018/5/5 Copyright ハルプレス 31

32. セキュリティに関しては 日々最新の情報を入手しよう • サイバー攻撃は日々進化しています。 • 一つのセキュリティ対策が考え出されると、それ を突破する攻撃手法が編み出され、世界中に広ま ります。 • 今日発表したことも古くなる可能性が高いので

    日々最新の情報を入手してください。 •私も日々最新の情報を入手し公開 していきます 2018/5/5 Copyright ハルプレス 32

33. バックアップ 2018/5/5 Copyright ハルプレス 33

34. バックアップはなぜ必要か？ • WordPress のデータベースにはブログのすべての投 稿、コメント、リンクが含まれています。 • データベースがもし削除されたり壊れたりすると、 それまで書いてきたすべてを失うことになります。 • このような事態を起しかねない原因はたくさんあり

    ますし、こうした原因をすべてコントロールできる わけでもありません。 • WordPress のデータベースやファイルの適切なバッ クアップがあれば、すぐに正常な状態に戻すことが できます。 （引用元：WordPress Codex) 2018/5/5 Copyright ハルプレス 34

35. 突如の事故のために • テーマの変更やプラグインの追加をしたら動作がおかし くなった。 • 自分でカスタマイズをしたら意図しない動作をしだし現 状復帰できなくなった • 記事を投稿したら意図しない動作を起こした •

    WordPress本体やテーマ、プラグインをアップデートし たら画面が真っ白になった。 • うっかりWordPressのファイルやフォルダを削除してし まった。または移動させてどこかへ紛失してしまった。 • 外部から攻撃を受けた。 • WordPressサイトを開いたら画面が真っ白になっている。 2018/5/5 Copyright ハルプレス 35

36. トラブルは起こるもの • Webサイト運用していれば、問題・不具合・意 図しない動作などのトラブルは起こるものと認 識しましょう。 • 何かあったときにバックアップが取ってあれば、 バックアップを取ったところまでは復帰できる のでバックアップは必須事項 •

    交通事故と同じ「だろう…」運転ではなく「か もしれない… 」運転をしましょう。 2018/5/5 Copyright ハルプレス 36

37. バックアップするものは２つ • ファイルとフォルダのバックアップ • データベースのバックアップ 2018/5/5 Copyright ハルプレス 37

38. WordPressサイトの構造 • ファイル…WordPress本体、テーマ、プラグイ ン、画像、php、CSS、 設定 など • データベース…すべての記事（投稿・固定ペー ジ）、コメント、リンクなど 2018/5/5

    Copyright ハルプレス 38

39. しかし今回はプラグインを使い ましょう • 「FTP」や「phpMyAdmin」などを使って自力で ファイルやデータベースをバックアップを取る ことも出来ますが、難しいし面倒くさいのでプ ラグインを使いましょう。 2018/5/5 Copyright ハルプレス

    39

40. All-in-One WP Migration • All-in-One WP Migrationはバックアップだけ でなく復元も簡単にできるのでおすすめです。 2018/5/5 Copyright

    ハルプレス 40

41. インストールして有効化 2018/5/5 Copyright ハルプレス 41 • All-in-One WP Migrationができますので、 バックアップをクリックします

42. All-in-One WP Migration • エクスポート先を「ファイル」にします。 2018/5/5 Copyright ハルプレス 42

43. All-in-One WP Migration • 終わりますと「DOWNLOAD ……」と緑枠でます のでクリックします 2018/5/5 Copyright ハルプレス

    43

44. All-in-One WP Migration • ダウンロード先を指定するウィンドウが出ます のでダウンロードしたいフォルダを選びます 2018/5/5 Copyright ハルプレス 44

45. All-in-One WP Migration • ダウンロードされれば終了です。「close」ボ タンをクリックして消します。 2018/5/5 Copyright ハルプレス 45

46. しかし、バックアップを忘れると • バックアップを取ったところまでしか復元はで きません。 • バックアップを長いこと取り忘れるとその間の データは失います。 • 自動バックアップするサービスをご紹介します。 2018/5/5

    Copyright ハルプレス 46

47. VaultPress • VaultPressはWordPress.comを運営している Automattic社が出しているバックアップサービス • ひと月5ドル必要 • 毎日バックアップをしてくれて、リストアも簡単 です。 •

    JetPackからもインストールできます • https://vaultpress.com/ 2018/5/5 Copyright ハルプレス 47

48. WordPressはすべてが自己責任 • WordPressはすべてが自己責任です。 • 保証はありません。 • 自分でリスク回避をする必要があります。 • 運用をしてくれるプロに依頼するのも一つ 2018/5/5

    Copyright ハルプレス 48

49. Web運用代行サービスしています • https://strategic-web-operation.com/ 2018/5/5 Copyright ハルプレス 49

50. ご清聴ありがとうございました 2018/5/5 Copyright ハルプレス 50