こんにちは、クックビズのグロースハック担当の杉田です。
外部リンク自作自演型のSEOが死んでからは、良質なコンテンツを提供する企業が増えてきました。良質なコンテンツを定期的に配信する方法としてWordPressを利用している会社が多いですね。弊社もCook+総研、社長ブログ、採用サイトなど様々なサイトでWordPressを利用しています。今回は、法人としてWordPressサイトを構築~運用する際に気をつけるポイントをピックアップして紹介します。
http://wordpress.org/download/counter/
WordPress3.7がリリースされたのが2013年10月25日、既に約600万回もダウンロードされています。これだけ利用者が多いとWordPressばかり狙って攻撃してくるクラッカーもいるわけで、先日のような大規模な改ざん事件が起きたりもします。
WordPressってセキュリティ的にどうなんだろう?と疑問視する方は、今回紹介するプラグインを利用してみてください。(制作会社の方も参考になると思いますよ)
※参考記事を探したら同じ人の記事ばかりになってしまいましたがホントたまたまなので他意はないです
# 構築編
サイトを立ち上げる時にしっかり防御をしておかないとセキュリティが穴だらけのサイトが出来てしまうので気をつけましょう。WordPressサイト制作方法としては自社で構築or外注するの2通りあります。
1. 自社で構築する場合
お客様のサイトを制作するのではなく、自社のサイトを制作するわけだから責任は全部自社で取るので問題ないと思ってませんか?そんなわけないですよね。。。とりあえず最低限のセキュリティを担保する方法です。
Force Email Login (フォース Eメールログイン)
何も考えずにWordPressサイトを立ち上げるとユーザー名がadminになります。WordPressに詳しいハッカーならパスワード総当りで攻撃してきます。その攻撃から身を守るのがこのプラグイン。
このプラグインを適用すると、ユーザープロファイルで登録されたメールアドレスでログインできるようになります。
(ユーザー名でのログインは全て拒否)
作者のブログ
Hotfix (ホットフィックス)
最新版のWordPressを入れると時々バグがあります。特にバージョン3.6.x→3.7のような大きなアップデートのときに注意です。公式アップデートが来るよりも早くバグ修正してくれるのがHotfixです。
2. 外注する場合
WordPressを外注するということは十中八九デザイン(テーマ)の発注でしょう。独自テーマはなるべくやめてもらおう。WordPressには子テーマを使ってテーマ作成という方法があります。子テーマを知らない&技術力の低いWebデザイナーさんにテーマ作成を依頼してしまうとヤバいものを納品される可能性がかなり高くなります。(その分、安いのも事実…)
※補足説明:2013/11/13 13:39
“技術力の低いWebデザイナーさん”へツッコミを頂いたので補足説明します。
まず技術力が低いことをdisる気持ちはない事をご理解ください。Webデザイナーさんの評価は技術力が高いかどうかではなく、デザインの質が高いかどうかです。・・・という前提があった上で、WordPressはCMSなのでCMSのルールに従わないととんでも無いことになります。もっと言うとPHPで出来たCMSなので、そもそもPHPでダメな書き方をするとWordPress云々以前にヤバいものが完成します。そういう意味を込めて”技術力の低い”を付けたのですが誤解があったらごめんなさい。ちなみに技術力の高いWebデザイナーはお風呂が大好きなネコぐらい珍しいでしょう。
「有料で購入したテーマだから安全です」と主張する方もいらっしゃるようですが、嘘なので信じないでください。(無知ゆえの嘘)
「製作時はWordPressのデバッグモードを有効にしてください」
こうお願いして通じない制作会社だとかなり怖いです。たぶん、PHPの事もよくわかってないと思います。「面倒くさいから嫌です」と言ってくる方がまだマシだと僕は思っております。
WordPressには運用モードとデバッグモードがあり,通常は運用モードで動いています。運用モードにあるWordPressはエラー表示を控え,テスト時には知っていなければならない警告なども出力されません。
参考記事:第2回 WordPressの基本的な5つのルール(その2:デバッグモード)
Theme-Check (テーマチェック)
利用しているテーマが安全かどうかチェックしてくれるプラグインです。Theme Authenticity Checker (TAC)プラグインが有名ですが、
結論から言いますが、このプラグインによるチェックでは不完全でした。
参考記事:ヤバイWordPressテーマを見分けるための方法
外注する際は最低限このTheme-Checkによるチェックをパスしてもらうようにしましょう。おそらくスクラッチで制作してパスできる制作会社さんは世の中に数えるほどしかいないでしょう。その事をちゃんと説明してくれる制作会社なら良心的とも言えます。
とは言え、コストとクオリティ&セキュリティはトレードオフです。自社のビジネスでWordPressを利用するためにどこまで投資するかは経営判断です。
# 運用編
さて、サイトが立ち上がったらいよいよ運用に乗せる訳ですが、運用パターンとしては担当者が1名の場合と複数の場合があります。記事作成&公開作業は1人だけど、インタビュー記事など事前に外部の人に原稿確認をしてもらう必要がある場合は、複数名の方を参考にしてください。
1. 担当者が一人の場合
記事の執筆~公開権限があなたにある場合は誰かの検閲を受けることも無いでしょう。たとえば、あなたが社長とか、運営に関して全権委任されてるとか。
ただし、既に公開済みの記事や固定ページの内容を修正するとき、修正内容を推敲するのに役立つプラグインの存在を知っておいて損はありません。
WP Post Branches (WPポストブランチ)
このプラグインを使うと、一度公開した記事を公開したまま、修正用の記事をコピーして作成できます。修正用の記事を公開すると、自動的に元の記事を上書きしてくれます。わざわざ非公開の記事を新しく作成、原稿が完成したら公開している記事にコピペして公開という煩わしい作業から解放されます。オススメです。
2. 担当者が複数名いる場合
社外の人をインタビューしたり、社内の関係者(上司とか)に許可を取るなど、関係者が増えると面倒なことが多いです。「原稿作成したのでログインしてプレビューで見てください」「ログイン出来ないんだけど。キャプチャーちょうだいよ」という経験はありませんか?ご安心ください、ログインしなくても下書き記事を見れるようにできます。
Public Post Preview (パブリック・ポスト・プレビュー)
書いた記事を公開前に誰かに確認してもらいたい、添削してもらいたい。この写真は使っても大丈夫なのか?こんなことを思ったことはありませんか?今回はそんな時に使える便利なプラグインをご紹介。
参考記事:【WordPress】本番公開前に記事を見せられる「Public Post Preview」が良い!
WordPressのサイト構築をしたはいいが、運用してみたら予想していなかった業務がたくさん発生して困った。そのほとんどが原稿確認系ではないかと思いますので、こちら2つのプラグインを紹介しました。
# まとめ&今後のトレンド
WordPressを運用したい側からの観点で、最低限抑えておきたいポイントをまとめましたがいかがだったでしょうか。今回紹介したポイントをしっかりと抑えていただければ、今後WordPressの素晴らしい恩恵に授かれるようになります。
WordPressは今後、Google Chromeの様にバージョンが新しくなるたびに自動更新されます。セキュリティ対策も勝手にやってくれるのですが、今回のポイントを外してしまうと残念ながら。。。さあ、今から立ち上げるサイトではしっかりと対応しましょう!
最後にAutomatic社のスタッフ高野直子さんによるWordPress3.7と3.8のスライドシェアを紹介します。
グロースハッカーとしても次期WordPessは非常に楽しみです。
ではまた2週間後!
【お願い】記事が役に立ったらシェアお願いします
ピンバック: ブログニュース Vol.12 〜 ブログ論とかくだらねーとか言わないでいろんな人の意見を聞くとそれはそれで面白いですよ。 | うまxうま!