WordPress」カテゴリーアーカイブ

バージョンを アップしたった PHP ~少しは表示速度上がったんかい~

              

Xサーバーからメールが

先日、WordPress本体の脆弱性を突かれたのは記憶に新しい。
通常、サイトのコンテンツを書き換えるには、サイトのダッシュボードにログインし、
ごそごそと中身を書き換えなければならない。

ところが、先日の記憶に新しい脆弱性を突かれた攻撃は、ダッシュボードにログインすることなく、
サイトのコンテンツを書き換えることが可能、というとんでもないモノだった。

企業サイトなどは、バージョンアップがあった場合、
まずXAMPやMAMPで既存のコンテンツなどに影響が出ないか確認しなければならないから、
個人でやっているサイトと違い、自動更新をオンにしていないサイトが多かっただろう。

企業サイトを案件として抱えていたところは、大変だったに違いない。

私は自動更新をオンにしているので、勝手にバージョンアップされるから、
幸い、サイト改ざんの被害には合わずにすんだ。

ほっと一息ついていたら、Xサーバーからこんな趣旨のメールが。

「PHPのバージョン、最新の7.0が推奨になったから、バージョンアップしてね」と。

むむ・・・。
一難去ってまた一難?

セキュリティのためにやっておくべきこと、それは・・・。

サイト運営者にとって、セキュリティのためにすべきこと、それはバージョンアップ。

WordPress本体のみならず、プラグインも、そしてPHPも。

古いバージョンは脆弱性を突かれる危険があるし。

かといって、ホイホイと元気よく上げるのも怖い、といえば怖い。

ローカルにインストールしたMAMPで新しいバージョン検証してからでないと、
どんな不具合が出るかわかったもんじゃないから。

以前、WordPress本体が3.xx時代に、本体バージョンアップを自動更新にしてしていたら、
Googleアドセンス表示されなくなったことがあったので、一時期手動更新にしていた。

しかし!

WordPressはオープンソース。

世界中の手練れが集結して開発しているけれど、オープンソースということは、
同時に、バッカー(はっか~なんて呼んでやらない)にも、
コードの中身がさらされている、ということでもある。

となると、手動更新にしていると、検証しているわずかばかりの時間に、
バッカー(はっか~なんて呼んでやらんよ、絶対)の攻撃をみすみす招きかねない。

というわけで、しぶしぶ自動更新をオンにし、バージョンアップで表示がおかしくなったら、
後追いで自力で何とかするようにした。

プラグインは自動更新できないから、バージョンアップがあったら、
せっせと手動更新していた。

ところで、PHPは、というと・・・。

今までのバージョンも使えるけれど

Xサーバーからのメールによると、新しくWordPressをインストールする場合、
推奨の最新版、7.0がデフォルトになったそうな。

これまでのPHP5.6も使えるけれど、できれば早くバージョンアップしてね(意訳)とある。

表示速度も上がるらしい(ホンマかいな)ので、自力検証が甘いまま、
Xサーバーのサーバーパネルで、PHPをバージョンアップ。

何事も起きませんように・・・。

内心、びくびく、ドキドキしながら、ラジオボタンをぽちっと押す。

サイト、真っ白けっけとか・・・。

前、やらかしたよなあ、パスワード入れ間違えて、セキュリティプラグインに締め出され、
おまけにサイト真っ白けっけ。

あれの再現は勘弁してけろ。

・・・。

幸い、そんな恐ろしいことは起きることなく、とりあえずぱっと見には、表示が崩れた様子もなく、
拍子抜けするくらい実にあっさりと、PHPのバージョンアップは終わったのだった。

ホンマに、表示速度上がってるんかいな・・・。
いまいち、実感がわかないんやけれど。

 セキュリティ第一。

手間暇かけて作成したサイトがハッキングされ、改ざんされたりしないよう、
WordPress本体とプラグインは最新バージョンにアップデート。

それらを動かすためのPHPも、最新バージョンにアップデートしておきませう。

サイト運営・管理するなら、まずはセキュリティ。

都民ファーストならぬ、セキュリティファースト。

で・・・ホンマに表示速度、上がったんかいな?
よくわからんわ。

SSL 無料提供 開始され

              

Xサーバーから、「無制限・無料で利用可能な標準SSL」の案内が来た。
Google先生の検索結果の表示がSSL化されたサイト有利になったし、
多分、Xサーバーもそれに対応したんやろうな。
私が勢いでSSL化した、初年度無料のSSLとどう違うんやろ?
機能的に差がないのなら、新しく導入された方に乗り換えるか?
とりあえず、違いを調べてみよう、

今回、無制限・無料で提供されることになったのは、Let’s EncryptというSSL。
Xサーバーで運営されているドメインに、無制限・無料で利用可能。
即日有効になり、90日ごとに自動更新される
サイトシールには対応しておらず、「www」ありなしにも対応。
でも、よく読むと、「www」なしでは申し込みできないみたい。
ということは、申し込む時は「www」ありにしないとあかんのかな。
対応ブラウザ、有名どころが列挙されているけれど、バージョンは?
詳細は提供元のサイトを確認してください、とあるけれど、
ちゃんと見に行くヒト、どのくらいいるんやろ?

私が初年度無料で契約したCoreSSLは、2年目から年間税抜き1000円。
セキュアコアが提供しているSSLの安いもので、今回、
Xサーバーが新しく提供開始した無制限・無料SSL同様、
サイトシールは発行されない。
サイトシールというのは、大雑把に言うと、
「このサイトはSSL化されてるよ」という安心マークみたいなもん。
SSL化されたサイトが検索で優先されるようになったけれど、
Google先生、まだSSLの質・・・までは、結果に加味してないんよね。
だから、リーズナブルなSSLでも、超高級SSLでも、
現状では、まだSSLのグレードで、検索結果に差が出ないわけ。
将来、Google先生がそれも加味するようになるかもしれないけれど、
そうなったらその時に間に合うように、グレードあげればいいや。

じゃあ、現在私が利用している、セキュアコアのCoreSSLと、
今回、Xサーバーが提供開始した、Let’s Encryptの一番の差は何か?

現状、Xサーバーのサイトで確認出来るそれは、対応している、
ブラウザやOSのバージョンの範囲、じゃないかと。

細かく専門的に見ていけば、きっといろいろあるんやろうけれど。

シゲシゲと読んだけれど、Let’s Encrypt、対応しているブラウザのバージョン、
OSのバージョン、はっきり数値で書かれていない。
Windows10(Edge)、Mac OS Xと書かれているけれど。

一方、CoreSSLの方には、ブラウザのバージョンも、
AndroidやIOSのバージョンもいくつ以降、とはっきり書いてある。

あくまでも、私個人の感想やけれど、無制限・無料のLet’s Encryptより、
セキュアコアのCoreSSLの方が、対応ブラウザやOSの範囲が広そうで、
安心してられるかなぁ。と云う感じ。

今年いっぱいでCoreSSLの無料契約期間終了するけれど、契約更新やね。

有料プランを使ってね。
そんな作戦かもしれないけれど。

サイトやる 一番気使う ポイントは?

              

自動更新オンにしてたから、Wordpressがバージョンアップされてた。
私が始めた頃は、バージョン3.5だったのに、今じゃ4.X.X。
オープンソースで世界中の手練れが集って開発してるWordPress。
ただ、最大の長所は最大の短所にもなりううる。
オープンソースだから、ハッカーにも狙われやすい。
このへっぽこアホアホサイトもSSL化する前は、怪しげなアクセス、いっぱいあった。
WordPressでサイト運営するなら、セキュリティ対策、きっちりしないとアカン。

ナウでヤングなサーバー借りてた頃に、ブルートフォースアタック仕掛けられ、
危うく、ログイン突破されかけたことがあった。

その時は、ナウでヤングなサーバーのサーバー監視担当者が、
ログイン画面にロックをかけ、攻撃を防いでくれたのだけれど、
誰もログインできない状態になってしまった。
サイト管理人である、私でさえも。
その後、ログインできるように手配してもらったのだった。

それに懲りて、セキュリティ対策のプラグインで評判のいいものをインストールし、
ログイン画面にもbot攻撃を受け付けない設定をした。

それでも、ブルートフォースアタックを仕掛けてくる輩は、しぶとくやってきていた。
その気力と根性とITスキル、もっとまっとうなことに使えよ、と痕跡見るたび思った。
とにかく、奴らは、しぶとく、しつこい。

それが、サイトをSSL化してから、減ってきた。
サーバーとクライアント間のデータのやり取りを暗号化するから、
IDやパスワードを盗み見される心配もほぼなくなる。

これから、WordPressでサイトを構築するなら、セキュリティ対策はきちっとすること。

今借りているXサーバーは、デフォルトで海外IPアドレスからのログイン画面へのアクセスを遮断しているから、
海外からのブルートフォースアタックを防ぐのには、てっとり早い。
サーバー借りるなら、こういうセキュリティ対策してるものを選ぶべし。

WordPress本体とプラグインは、常に最新バージョンにしておくこと。
そうしないと、脆弱性を突かれる攻撃を受ける危険性が高くなってしまうし。

プラグインで、何年も更新が止まっているようなものは、インストールを見送ること。
これもまた、脆弱性を突かれる危険性があるし。

SSL化は、後からやると、いろいろと面倒くさいので、サイト構築時から導入すべし。

作ったサイトをネット上で公開するということは、大勢のヒトに読んでもらう可能性が広がる。
それと同時に、招かれざるハッカーなども呼び寄せてしまうことにもつながる。
奴らは本当にしぶとく、しつこく、サイトを攻撃してくる。
サイト構築時に最初に気をつかうべきことは、SEO対策よりも、まず、セキュリティ対策。
セキュリティ対策、してしすぎる、ということはないから。

やっといて 良かったサイトの SSL

              

ええい、してまえ〜〜〜と、勢いでやった、SSL化。
サイトの読み込みが遅くなる、というデメリットはあるけれど、
Xサーバーで初年度無料やったし。
(来年から年間税抜き1000円)
SSL化したら、怪しげなアクセス数、減ったし。
やってよかった、SSL化。
そう思ってたら、こんな情報が今日入ってきた。

iPhone、iPadのIOS。
現行バージョンは9.3.2。
来年にはバージョン10に上がる。

そのIOS10。

今日、入ってきた情報によると、IOS内のアプリを使用してのWEB通信は、
HTTPSの使用が絶対条件になる、んだとか。

大雑把に言うと、iPhoneやiPadでGoogleChromeで、サイトを見ようとすると、
IOS10以降は、HTTPS化されていない、httpで始まるサイトは、
表示されなくなる可能性がある、ということ。

ちなみに、このへっぽこアホアホサイト、

アクセス解析をすると、PCとモバイルの比率は、モバイルの方が多い。
PCで接続してきているヒトより、スマホとタブレットで接続してきているヒトの方が多い。

この状態で、HTTPのままだと、IOS10以降は、アクセス激減する可能性がある、ってこと。

初年度無料と「ええい、してまえ〜」という勢いだけでSSl化し、
今でもポロポロ出てくる不具合と、モグラたたきよろしく戦っているけれど、
やっておいてよかった、と思う。

サイトのSSL化、した方がいい、と言われつつも、サイトにどんな不具合出るかわからないし、
なんだか面倒くさいし、SSl化するのにも、それなりに費用がかかるし、
HTTPで始まるサイトに比べて読み込み時間がかかるから、SEO的に不利かもしれないし、
と、SSL化するのを躊躇してきたサイト運営者、結構いるんちゃうやろうか。

でも、このままほっとくと、IOS10以降、アクセス減っちゃうかもしれないぞ。

面倒くさくとも、そろそろ腰を上げて、SSL化、作業し始めた方がいいと思うぞ〜〜〜。

私がSSL化するにあたって、参考にしたのは海外SEO情報ブログの、こちらの記事

鈴木さんの記事が一番よくまとまっていて、やるべきことがわかりやすかったので、オススメ。

そういえば・・・。

SSL化したばかりの頃、URLバーに緑の鍵が出ない原因になっていた、密林様アソシエイト。
その密林様が、トップベージからサイトをSSL化、いつの間にか完了させていた。

事前にIOS10のHTTPS情報、入手してたのかしら、もしかして。

密林様も、スマホやタブレットからの購入、PCからより多くなってるかもしれないし。
もしそうなら、SSL化対応しないと、売り上げ大変なことになっちゃうもんね。

何でやねん?サイトマップが 保留中?

              

Google Analyticsとウェブマスターツールを使って、アクセス解析をしている。
ナウでヤングなサーバーから、Xサーバーに引っ越した時に、
ウェブマスターツールで、wwwあるのとないのと、2つドメインを登録した。
さらに、SSL化した時に、もともとあった2つに加え、httpsのついたあるなしを登録。
合計4つ登録。
それで、もう半年近くやってきた。
ところが!!!

このへっぽこアホアホサイトは、wwwなしでドメイン名、というURLで運営しているので、
ウェブマスターツールの「サイトの設定」もそのように登録していた。
これを、サイトの正規化、という。

ところが!!!

一昨日、ウェブマスターツールでアクセス解析をしようと見てみると、
本家本元のhttpsとドメイン名のサイト。
サイトマップが保留中になっている。

「送信してGoogle先生が認識する前に開けたのかな」と考え、その時は気にも留めていなかった。

それが、今日見てみると、相変わらず、保留中のまま。

変だなぁと思い、念のため他の3つの設定を見てみる。

すると、httpsプラスwwwプラスドメイン名のものに、サイトマップが送信され、
受理された状態になっているではないか!!!

何でやねん!!!

これ、平たく言うと、httpsプラスwwwプラスドメイン名が、Google先生に正規化されちゃった状態。
しかも、プラグインのAll in one SEO packで作成しているサイトマップは、
wwwなしで作っているから、httpsプラスwwwプラスドメイン名を正規化されると、
エラーが出倒す、という、大変、望ましくない、イヤな事態になってしまっている。

何でこんなんなってんねん!!!

ウェブマスターツールでwwwなしを正規化してたやん!!!
今までそれで、問題なく、サイトマップ処理されてたやん!!!

そう、これまではwwwなしのものに、サイトマップが受理され、
wwwなしのものはサイトマップのデータなしになっていた。
少なくとも、3日前まではそうなっていた。
送信されたサイトマップに対し、7つほどまだインデックスされていないものがあったので、
Fetch as Googleやったほうがいいかな、と考えたばかり。

それなのに、何でこんなことになってるんや?

わけがわからん。

Google先生、インデックスをなんか弄ってるんやろうか?

とりあえず、先人のサイトで対策方法を探し、今、私でもできる対応を取る。

これで様子見をして、アカンかったら、Google先生のフォーラムで先人に質問しよう。
うん、そうしよう。

それにしても・・・。
次から次へと、いろいろ起きるなぁ・・・。