質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.32%

wordpressを使用することのメリット

解決済

回答 2

投稿

  • 評価
  • クリップ 5
  • VIEW 1,881

te2ji

score 23060

*プログラミングの質問では無いかもしれません。。。

Wordpressに関して、質問です。
現在、blogシステムとして、Wordpressの導入を検討しているのですが、以下のポイントに関して、不安に思っています。

・パフォーマンス
・セキュリティ

blogシステムとして、プラグイン等で容易に拡張できる反面、上記対応にかなり工数を取られる認識ですが、導入時の対応で運用時の工数が大きく変わるとも認識しています。

システムとしてはそれほど大きなアクセスは想定せず、数十万アクセス/月を1サーバで収容しようと考えています。

下記のそれぞれに関して、アドバイスを頂ければ幸いです。

・サーバ(クラウド含む)選択
・Webサーバ(apache?nginx?)選択
・導入時のセキュリティ対策
・パフォーマンス向上のための必須チューニング

情報は大量に検索できるのですが、正直信憑性に欠けるものや古いものも多くまとまった情報がありません。。。

各項目の個別の回答でも助かりますので、よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

+2

(あんまり詳しくないですが、自宅サーバにWordPress入れた時に思った事を1つだけ)
・デフォルトではブルートフォースアタックが有効

インストールしたてのWordPressは認証時の失敗回数をカウントしていないようです。
セキュリティ系のプラグインを導入するか、とてつもない長さのパスワードを設定する必要があったりします。

(参考:私の自宅サーバのWordPressはサーバ自体の処理能力がアレなので、20桁ほどにすると解析までに〇兆年必要という計算になります)

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/25 15:23

    ありがとうございます。
    login系は結構対策されているのかと思ってましたが、割りとゆるいのですね。
    となると、プラグインが必須ですね。ちゃんとソース追わないといけないのかぁ。。。イヤだなぁ^^;

    キャンセル

checkベストアンサー

+1

サーバーまわりに関してはあんまり意見を言えるレベルではないので、以下の箇所についてご参考までに…

・導入時のセキュリティ対策 

チェックポイントはこのあたりかな、というところを
・ログイン画面むき出し(URLもデフォルトのままだと誰でも知ってる)
・(tonarino210さんもおっしゃっていますが)認証失敗し放題
->施行回数制限(セキュリティプラグインでOK)
・ログインIDもURLにクエリを入れれば丸わかり
 ->URLにクエリを入れた際に出てくるIDの文字列偽装(プラグイン有)
・インストールディレクトリのxmlrpc.phpに特定のリクエストを送ると直接login.phpに対してID+Passを送信可
->xmlrpc.phpを無効化(セキュリティプラグインでOK。.htaccessやfunction.phpでも可)
・コメント欄でhtmlタグの許可をしているとXSS可(v4あたりでほとんど無理になったみたいですが、管理画面のコメント承認ページを閲覧した時点で発火させるXSSなどもありました)
->コメント欄htmlタグ無効化(function.phpで可)

パッと思いつくのはこのあたりでしょうか。
確かに工程多くて面倒なので、一括でできるセキュリティプラグインをいつも使います。
ただ、「これ一つですべてをまかなえる」というプラグインは無いので、大半をカバーしてくれているものと
+α入れたりする必要があったりします。

ログインまわりはやっぱりちょっと弱いので、特定のIP以外はアクセス不可、などにしておくのがいちばんですが
そうもできないケースも少なくないので、上記の対策は必要になりますね…
v4.5で二段階認証を入れるという話があったのですが、結局入らなかったみたいで、するならプラグインを使って、になるようです。

また、サニタイズやエスケープの処理はWordPressの組み込み関数の内部に組み込まれていることが多いので
重複しないように、基本組み込み関数を使うのがベターだと思います。

あと、個人的には
・ログイン画面のURLも変更
・アップロードディレクトリ(画像ファイルの)にphpファイルもアップロード可->不可に設定
・URLストリングスの上限設定もデフォルトでは無し(ブラウザ依存)なので、上限設けています
したりしています。

・パフォーマンス向上のための必須チューニング

APCとキャッシュでしょうか。(確かデフォルトではキャッシュが用意されなくなったような…)

WordPressはデフォルトでは「英語」で、それを設定されている言語へ「翻訳してから出力する」というちょっと無駄とも思える手続きを踏むので、翻訳もキャッシュしておいたほうがいいかなと思います。

また、フロントの話になりますがデフォルトではheadまわりに結構いらない記述が多々紛れ込んでブロッキングを起こしてくれるので、そのあたりも出力しないようにすると、案外効果があったりします。

あとはアクションやフィルターという概念を押さえておかないと、追加した処理が著しくパフォーマンスを下げる原因にもなりえるというところも。

※余談ですが、DBでデフォルトではインデックスが貼られていない箇所がいくつかありますが
そこへ「インデックスを追加して高速化!」みたいな記事があって、試してみたことがありましたが自分の環境では
1ミリ秒程度しか改善されませんでした…

…すみません、、長文になってしまいました。。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/28 14:42

    プラグインの充実や、本体にあまり手を入れなくても拡張可能な設計に魅力を感じていたのですが、結構厄介ですね。。。

    ・ログインIDもURLにクエリを入れれば丸わかり
    これとか結構致命的な気が^^;

    というか、知らないで使ってる人、大丈夫なのか心配になるレベルですね。いっぱいいそうだし。

    ありがとうございます。

    キャンセル

  • 2016/06/01 00:38

    お返事が遅れて申し訳ございませんでした…
    たぶん、ログインまわりのセキュリティとキャッシュに関してはプラグインに任せる的な方針なんじゃないでしょうか。そこ以外は特に問題ないですが

    基本として、結構昔からあるOSSなので、最近出たものに比べれば機能的に見劣りする箇所も少なくないと思います。よく巷で言われているほど、簡単でも楽でもないものだと思っています。笑

    ただおっしゃるように、プラグインが非常に充実していたり、フォーラムもかなり充実しているので困った時はそのどちらかでだいたい解決できるというのが良いところかと思います。
    また、本体は基本触らないです。(更新で改変箇所が全部消えるので、基本はテーマファイルのみを触ります)

    個人的には、フロントまわりの自由度の高さと導入の楽さ(あっという間に終わる)がいちばんのメリットなのかなと考えています。

    >これとか結構致命的な気が^^;
    ですよね…苦笑 なぜこんな仕様にしたのか謎です。。
    知らないで使っている人も結構います…制作会社でも知らないところ少なくないので。。
    こういうのもあって、WordPressはブルートフォースアタックの的になりやすいのでしょうね。。

    キャンセル

  • 2016/06/08 15:48

    少し触り直してみましたが、本格的に追っていかないと怖そうですね。
    Wordpress を使用していないサイトへのアクセスで、対Wordpressのセキュリティ・ホール用だろうと思われるアクセスも多いので、もう少し勉強してみます。
    ありがとうございました!

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.32%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る