wordpressを使用することのメリット
解決済
回答 2
投稿
- 評価
- クリップ 5
- VIEW 1,881
*プログラミングの質問では無いかもしれません。。。
Wordpressに関して、質問です。
現在、blogシステムとして、Wordpressの導入を検討しているのですが、以下のポイントに関して、不安に思っています。
・パフォーマンス
・セキュリティ
blogシステムとして、プラグイン等で容易に拡張できる反面、上記対応にかなり工数を取られる認識ですが、導入時の対応で運用時の工数が大きく変わるとも認識しています。
システムとしてはそれほど大きなアクセスは想定せず、数十万アクセス/月を1サーバで収容しようと考えています。
下記のそれぞれに関して、アドバイスを頂ければ幸いです。
・サーバ(クラウド含む)選択
・Webサーバ(apache?nginx?)選択
・導入時のセキュリティ対策
・パフォーマンス向上のための必須チューニング
情報は大量に検索できるのですが、正直信憑性に欠けるものや古いものも多くまとまった情報がありません。。。
各項目の個別の回答でも助かりますので、よろしくお願いします。
-
気になる質問をクリップする
クリップした質問は、後からいつでもマイページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
+2
(あんまり詳しくないですが、自宅サーバにWordPress入れた時に思った事を1つだけ)
・デフォルトではブルートフォースアタックが有効
インストールしたてのWordPressは認証時の失敗回数をカウントしていないようです。
セキュリティ系のプラグインを導入するか、とてつもない長さのパスワードを設定する必要があったりします。
(参考:私の自宅サーバのWordPressはサーバ自体の処理能力がアレなので、20桁ほどにすると解析までに〇兆年必要という計算になります)
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
checkベストアンサー
+1
サーバーまわりに関してはあんまり意見を言えるレベルではないので、以下の箇所についてご参考までに…
・導入時のセキュリティ対策
チェックポイントはこのあたりかな、というところを
・ログイン画面むき出し(URLもデフォルトのままだと誰でも知ってる)
・(tonarino210さんもおっしゃっていますが)認証失敗し放題
->施行回数制限(セキュリティプラグインでOK)
・ログインIDもURLにクエリを入れれば丸わかり
->URLにクエリを入れた際に出てくるIDの文字列偽装(プラグイン有)
・インストールディレクトリのxmlrpc.phpに特定のリクエストを送ると直接login.phpに対してID+Passを送信可
->xmlrpc.phpを無効化(セキュリティプラグインでOK。.htaccessやfunction.phpでも可)
・コメント欄でhtmlタグの許可をしているとXSS可(v4あたりでほとんど無理になったみたいですが、管理画面のコメント承認ページを閲覧した時点で発火させるXSSなどもありました)
->コメント欄htmlタグ無効化(function.phpで可)
パッと思いつくのはこのあたりでしょうか。
確かに工程多くて面倒なので、一括でできるセキュリティプラグインをいつも使います。
ただ、「これ一つですべてをまかなえる」というプラグインは無いので、大半をカバーしてくれているものと
+α入れたりする必要があったりします。
ログインまわりはやっぱりちょっと弱いので、特定のIP以外はアクセス不可、などにしておくのがいちばんですが
そうもできないケースも少なくないので、上記の対策は必要になりますね…
v4.5で二段階認証を入れるという話があったのですが、結局入らなかったみたいで、するならプラグインを使って、になるようです。
また、サニタイズやエスケープの処理はWordPressの組み込み関数の内部に組み込まれていることが多いので
重複しないように、基本組み込み関数を使うのがベターだと思います。
あと、個人的には
・ログイン画面のURLも変更
・アップロードディレクトリ(画像ファイルの)にphpファイルもアップロード可->不可に設定
・URLストリングスの上限設定もデフォルトでは無し(ブラウザ依存)なので、上限設けています
したりしています。
・パフォーマンス向上のための必須チューニング
APCとキャッシュでしょうか。(確かデフォルトではキャッシュが用意されなくなったような…)
WordPressはデフォルトでは「英語」で、それを設定されている言語へ「翻訳してから出力する」というちょっと無駄とも思える手続きを踏むので、翻訳もキャッシュしておいたほうがいいかなと思います。
また、フロントの話になりますがデフォルトではheadまわりに結構いらない記述が多々紛れ込んでブロッキングを起こしてくれるので、そのあたりも出力しないようにすると、案外効果があったりします。
あとはアクションやフィルターという概念を押さえておかないと、追加した処理が著しくパフォーマンスを下げる原因にもなりえるというところも。
※余談ですが、DBでデフォルトではインデックスが貼られていない箇所がいくつかありますが
そこへ「インデックスを追加して高速化!」みたいな記事があって、試してみたことがありましたが自分の環境では
1ミリ秒程度しか改善されませんでした…
…すみません、、長文になってしまいました。。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
15分調べてもわからないことは、teratailで質問しよう!
- ただいまの回答率 88.32%
- 質問をまとめることで、思考を整理して素早く解決
- テンプレート機能で、簡単に質問をまとめられる
2016/05/25 15:23
login系は結構対策されているのかと思ってましたが、割りとゆるいのですね。
となると、プラグインが必須ですね。ちゃんとソース追わないといけないのかぁ。。。イヤだなぁ^^;