2022/9/10(土)に開催のKansai WordPress Meetup「残暑を乗り切る、肝を冷やした出来事を語り合おう」に参加しました。
今回はZoomでのオンラインイベント限定となります。8月頃に「そろそろオフラインでも?」という話になったようですが、コロナの勢力がおさまらないこともあり……。いつか直接参加してみたいですね!
今回は参加者でテーマについて語り合う感じでしたが、時々話題がWordPressから逸れても勉強になる・面白い話が多かったです。
制作関連
編集問題
外部に依頼するとき、WordPressの管理者権限を与えないから安全……というわけでもないようです。
管理者権限でなくてもメディア欄の操作はできるので、任せる人によってはこの辺りで誤操作をされてしまう恐れがあるとのことでした。
この時の対策方法としては、プラグインを使った管理者権限の管理や、現在の投稿ユーザーの画像のみ表示する設定をfunctions.phpに記述するとかですね。
他の人が画像を削除してしまったというトラブルですが、外部テーマの発展と関係していると聞きました。オリジナルテーマだと親テーマ内に大事な画像を入れて出力……という手段もあるので。
他にも、WordPressでやりたいことがあったからか、テーマ内の既存のCSSが全て削除されてしまったりだとか。
テーマのCSS編集にはリビジョン機能がないので、触ったばかりだと慣れてないことも多いかもしれませんね。
対応を任せる方によってはバックアップを取っていなかったり、間違った認識を持っていることもあるので、そういうケースも視野にサーバーのバックアップ機能を使ってもいいかもしれませんね。
(バックアップ機能があったおかげで助かったという話が多かったです)
「WordPressできるよ!」は人によって様々なレベルなので、できるを証明するためには成果物を見せるのが一番納得いくのではと思いました。
テーマ問題
ひと昔のWordPressテーマや外国のテーマでは、テーマを切り替えても以前のテーマで使われるフィールドが表示されたままになるようです。(もしかするとプラグインに原因があるかもしれません。テーマと一緒にプラグインがインストールされるケースもあるので)
国内・国外問わず、独自のエディターを備えるテーマもあり、触りやすい人にとっては助かる機能かと思います。
その反面デメリットも持ち合わせており、独自のエディターを備えたテーマは属人化しやすく、他のテーマへの移行が難しくなります。
そして、外部テーマを提供する制作者に求められる技術が格段と跳ね上がっているとのことで、今のWordPressの仕様で維持を考慮した準備はなかなかハードルが高そうです。(当然のことながら制作者が増えるのは嬉しいです)
クラシックエディター→ブロックエディターへの移行の注意
クラシックエディターからブロックエディターへ移行するとき、直接移行するとクラシックエディターの一部内容が消えるバグがあるようです。
全ての記事に影響が出るわけではないため、見落としてしまうこともあるようですね。
この場合、古いPHPでも動く仮環境&古いWordPressを用意し、手動で移行することになると思うので、この案件の相談があったら頭を悩ませてしまいそうです。
その他にも頭を悩ませそうな話が飛び交っていましたが……これはぜひWordPress Meetupに参加して聞いてみてください笑
ちなみになのですが、Kansai WordPress Meetupだけ他県・他地方で開催されるWordPress Meetupのノリと比べて異色とのことです。
関西圏(大阪寄り?)のノリがわかるようであれば、なんとなく空気が伝わるかと思います。
Kansai WordPress Meetupに参加するメンバーはどちらかといえば他県・他地方が異色だと思っています。合う方には合う空間ですので、他の方のご参加をお待ちしております……!
セキュリティ関連
無料SSLを発行したあとの攻撃
前回の【Kansai WordPress Meetup「あなたの推しプラグイン & こんなプラグインを教えてください!」に参加しました】で紹介した、無料SSLが発行されたあとのWordPressがあると仮定した攻撃では、無料SSLを発行してから30秒ほどでWordPressインストーラーへの攻撃があるようですね。
無料SSLを発行したときリスト公開するようになったのは、過去にSymantecが起こしたような問題への対策と聞きました。
調べてみると、Googleのドメインを含むテスト証明書を無断で発行したニュースがあったようですね。
これはホスティング会社としても想定外の攻撃手法だったようです。
この攻撃を受けると、その影響をすぐ発火させるとは限らないので、WEB制作者が油断するとこの攻撃手法にやられる恐れがあります。
攻撃を回避するにはパスワード認証やIP制限を設置した状態で始める構築、あるいは簡単インストールになります。
とはいえ今も多いクラッキング原因が平易なIDとパスワードになります。まずは基本的なところを押さえましょう!
影響範囲が明確でない場合の提案方法
これは自分がWordPressでヒヤッとしたことを相談しました。
さすがに詳しくは書かないですが、経験や知見ある方が多いので勉強になりました。
「家がシロアリにやられている状態で、将来的には住む場所を失うことになる」という例え方は、WordPressやWEBに詳しくない方にもわかりやすくてよかったです。
「家がシロアリにやられている状態で、将来的には住む場所を失うことになる」状態でのセキュリティ対策を提案するときのアドバイスは、以下の通りになります。
- セキュリティ的にまずいと証言した証拠を残すこと。
(可能であれば、こちらが「セキュリティ的に問題がある」と判断した箇所をスクショして証言する) - 第三者の力を借りる。例えばIPAの勧告やセキュリティ関連の記事など。
- 今対策するメリットを述べた上で提案する。
反対に、何かあったときには費用が跳ね上がっているし、対応しないという選択肢もアリ。
1番について、ログを見ると「明らかにおかしいな」と思う挙動があるはずなので、おかしいと思ったところは全て証拠として残しておいた方が提案・対応がしやすくなると思いました。
マルウェア感染の種類によっては、セキュリティサービスからのURL検証で証拠として提出できるかもしれません。
ただし中にはこういったサービスを活用しても検出されない感染もあるため、その場合はセキュリティ的にまずいと判断した他の証拠を頼りにしましょう。
2番について、セキュリティ関係以外にも第三者の知見がないと納得いかない相手がいるので、そのときはWEB上で関連記事とともに提案すれば通るかと思います。
あくまで個人的な意見ですが、実務では第三者の知見だけではうまくいかない対応も多く、相手があまりにも2番のやり方を押し通そうとする場合、長期の付き合いは推奨しないです。
3番について、受け取り方によっては印象が悪いようにも思うのですが、昔だとサポート対応の報酬は有り難かったものの、今では1万でも割に合わない作業になるようです。
WordPressの方針によっては、保守管理の費用も高くなるかもしれませんね。
余談ですが、WordPressの古いバージョンのセキュリティアップデートの提供を終了するとのことです。
2022年12月1日をもって、WordPress セキュリティチームは WordPress バージョン 3.7 から 4.0 までに対するセキュリティアップデートの提供を終了します。
WordPress バージョン 3.7 – 4.0 へのセキュリティアップデート提供の終了について
WEB制作にせよ開発にせよ、いつまでもサポートされるとは限らないので、保守・メンテナンスへの理解が浸透するといいですね。
さらに余談ですが、Windowsのサポート範囲が広くてすごいと話題になりました笑
10年前のPCにWindows10を入れても動くし、今でもFireworksが動くし、話を聞いていてすごいと言いたくなることが多かったです笑
おまけ
他CMSやフレームワーク、ノーコード、静的構築など様々な手段があるので、技術選定のためにいろんな技術を知っておくこと、WordPressの仕様とテーマの癖を把握した上での提案ができるといいですね。
個人的に、今回のイベントの冒頭で「WordPressのシェアが高いから偉いってわけではない」と案内されたのがWordPress好きとしては嬉しかったです。
それぞれの技術にはそれぞれの良さがありますし、WordPressだけでは全ての悩みを解決できないので、これからの制作者・技術者に求められるのは技術選定と知見の広さかもしれませんね。
主催者からの冒頭の話で、WordPressをローカルで構築するときにオススメのサービスを紹介してくれたので、覚書として紹介しておきます。
機会があれば使ってみます!
最後に告知の紹介を!
今年の10/1(土)にWordPress Mega Meetup Japan 2022 Fallが開催されます。
この度、翻訳の先輩コントリビューターとして参加させていただくことになりました!
今まで参加側だったので緊張します。(とはいえコアタイムの時間帯以外では普通に参加者としてうろちょろします笑)
みなさんにイベントを楽しんでいただけるよう頑張ります!
イベントにいらっしゃる方はぜひ、WordPress Mega Meetup Japan 2022 Fallを存分にお楽しみください!
参加しました
イベント後の記事はこちらから。
IT・WEB技術 に関する
最新の活動経歴はこちら