質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

2回答

2664閲覧

wordpressを使用することのメリット

退会済みユーザー

退会済みユーザー

総合スコア0

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

2グッド

5クリップ

投稿2016/05/25 01:10

*プログラミングの質問では無いかもしれません。。。

Wordpressに関して、質問です。
現在、blogシステムとして、Wordpressの導入を検討しているのですが、以下のポイントに関して、不安に思っています。

・パフォーマンス
・セキュリティ

blogシステムとして、プラグイン等で容易に拡張できる反面、上記対応にかなり工数を取られる認識ですが、導入時の対応で運用時の工数が大きく変わるとも認識しています。

システムとしてはそれほど大きなアクセスは想定せず、数十万アクセス/月を1サーバで収容しようと考えています。

下記のそれぞれに関して、アドバイスを頂ければ幸いです。

・サーバ(クラウド含む)選択
・Webサーバ(apache?nginx?)選択
・導入時のセキュリティ対策
・パフォーマンス向上のための必須チューニング

情報は大量に検索できるのですが、正直信憑性に欠けるものや古いものも多くまとまった情報がありません。。。

各項目の個別の回答でも助かりますので、よろしくお願いします。

act823, yodel👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

サーバーまわりに関してはあんまり意見を言えるレベルではないので、以下の箇所についてご参考までに…

・導入時のセキュリティ対策

チェックポイントはこのあたりかな、というところを
・ログイン画面むき出し(URLもデフォルトのままだと誰でも知ってる)
・(tonarino210さんもおっしゃっていますが)認証失敗し放題
->施行回数制限(セキュリティプラグインでOK)
・ログインIDもURLにクエリを入れれば丸わかり
->URLにクエリを入れた際に出てくるIDの文字列偽装(プラグイン有)
・インストールディレクトリのxmlrpc.phpに特定のリクエストを送ると直接login.phpに対してID+Passを送信可
->xmlrpc.phpを無効化(セキュリティプラグインでOK。.htaccessやfunction.phpでも可)
・コメント欄でhtmlタグの許可をしているとXSS可(v4あたりでほとんど無理になったみたいですが、管理画面のコメント承認ページを閲覧した時点で発火させるXSSなどもありました)
->コメント欄htmlタグ無効化(function.phpで可)

パッと思いつくのはこのあたりでしょうか。
確かに工程多くて面倒なので、一括でできるセキュリティプラグインをいつも使います。
ただ、「これ一つですべてをまかなえる」というプラグインは無いので、大半をカバーしてくれているものと
+α入れたりする必要があったりします。

ログインまわりはやっぱりちょっと弱いので、特定のIP以外はアクセス不可、などにしておくのがいちばんですが
そうもできないケースも少なくないので、上記の対策は必要になりますね…
v4.5で二段階認証を入れるという話があったのですが、結局入らなかったみたいで、するならプラグインを使って、になるようです。

また、サニタイズやエスケープの処理はWordPressの組み込み関数の内部に組み込まれていることが多いので
重複しないように、基本組み込み関数を使うのがベターだと思います。

あと、個人的には
・ログイン画面のURLも変更
・アップロードディレクトリ(画像ファイルの)にphpファイルもアップロード可->不可に設定
・URLストリングスの上限設定もデフォルトでは無し(ブラウザ依存)なので、上限設けています
したりしています。

・パフォーマンス向上のための必須チューニング

APCとキャッシュでしょうか。(確かデフォルトではキャッシュが用意されなくなったような…)

WordPressはデフォルトでは「英語」で、それを設定されている言語へ「翻訳してから出力する」というちょっと無駄とも思える手続きを踏むので、翻訳もキャッシュしておいたほうがいいかなと思います。

また、フロントの話になりますがデフォルトではheadまわりに結構いらない記述が多々紛れ込んでブロッキングを起こしてくれるので、そのあたりも出力しないようにすると、案外効果があったりします。

あとはアクションやフィルターという概念を押さえておかないと、追加した処理が著しくパフォーマンスを下げる原因にもなりえるというところも。

※余談ですが、DBでデフォルトではインデックスが貼られていない箇所がいくつかありますが
そこへ「インデックスを追加して高速化!」みたいな記事があって、試してみたことがありましたが自分の環境では
1ミリ秒程度しか改善されませんでした…

…すみません、、長文になってしまいました。。

投稿2016/05/25 15:21

manabufukai

総合スコア700

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/05/28 05:42

プラグインの充実や、本体にあまり手を入れなくても拡張可能な設計に魅力を感じていたのですが、結構厄介ですね。。。 ・ログインIDもURLにクエリを入れれば丸わかり これとか結構致命的な気が^^; というか、知らないで使ってる人、大丈夫なのか心配になるレベルですね。いっぱいいそうだし。 ありがとうございます。
manabufukai

2016/05/31 15:38

お返事が遅れて申し訳ございませんでした… たぶん、ログインまわりのセキュリティとキャッシュに関してはプラグインに任せる的な方針なんじゃないでしょうか。そこ以外は特に問題ないですが 基本として、結構昔からあるOSSなので、最近出たものに比べれば機能的に見劣りする箇所も少なくないと思います。よく巷で言われているほど、簡単でも楽でもないものだと思っています。笑 ただおっしゃるように、プラグインが非常に充実していたり、フォーラムもかなり充実しているので困った時はそのどちらかでだいたい解決できるというのが良いところかと思います。 また、本体は基本触らないです。(更新で改変箇所が全部消えるので、基本はテーマファイルのみを触ります) 個人的には、フロントまわりの自由度の高さと導入の楽さ(あっという間に終わる)がいちばんのメリットなのかなと考えています。 >これとか結構致命的な気が^^; ですよね…苦笑 なぜこんな仕様にしたのか謎です。。 知らないで使っている人も結構います…制作会社でも知らないところ少なくないので。。 こういうのもあって、WordPressはブルートフォースアタックの的になりやすいのでしょうね。。
退会済みユーザー

退会済みユーザー

2016/06/08 06:48

少し触り直してみましたが、本格的に追っていかないと怖そうですね。 Wordpress を使用していないサイトへのアクセスで、対Wordpressのセキュリティ・ホール用だろうと思われるアクセスも多いので、もう少し勉強してみます。 ありがとうございました!
guest

0

(あんまり詳しくないですが、自宅サーバにWordPress入れた時に思った事を1つだけ)
・デフォルトではブルートフォースアタックが有効

インストールしたてのWordPressは認証時の失敗回数をカウントしていないようです。
セキュリティ系のプラグインを導入するか、とてつもない長さのパスワードを設定する必要があったりします。

(参考:私の自宅サーバのWordPressはサーバ自体の処理能力がアレなので、20桁ほどにすると解析までに〇兆年必要という計算になります)

投稿2016/05/25 01:30

tonarino210

総合スコア228

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/05/25 06:23

ありがとうございます。 login系は結構対策されているのかと思ってましたが、割りとゆるいのですね。 となると、プラグインが必須ですね。ちゃんとソース追わないといけないのかぁ。。。イヤだなぁ^^;
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問