第4回 群馬 WordPress Meetup参加レポート

第4回 群馬 WordPress Meetupに参加してきたので、そのレポートを簡単にまとめさせていただきます。

セッション

1. きっと誰にでも簡単にできるWPへの貢献

• 登壇者: 高木 光様
• 資料:

内容

• WordPressはオープンソース
• 世界中の「貢献(contribute)」により成り立っている(「貢献」はボランティア)
  • 仕事とは別に行っているケースも想像される
  • 色々大変なはず……
• 何か力になれることはあるか？
  • 例:
    • 開発
    • 翻訳
    • ドキュメント
    • サポート
    • etc.
    • →ハイレベルなイメージ
  • 誰にでもできそうなものはあるか？
    1. 普段お世話になっているテーマ・プラグインにフィードバック
       • レビュー: プラグイン選定の参考情報となる
    2. サポートフォーラムで質問する
       • 質問と回答が共有される
    3. 寄付をする
       • 作者の実利になる
    4. 直接フィードバックを届ける
       • 公式フォーラムの方が好まれるケースもあるので留意
       • Slackなどのコミュニティを持っている場合はそこで、というのも手
    5. Githubにスターを付ける
       • Star(★)を付ける
    6. ブログやSNSで紹介する
• みんなでよりよくしていく
  • できることからやってみよう

2. 自作WordPressテーマを人気テーマにしたい妄想話

• 登壇者: よしあかつき(Yoshiaki Ogata)様

内容

• 来年こそyStandardを人気テーマにしたい
• TweetDeck – Wikipediaを使って情報収集
  • WordPressツイートでよく見かけるテーマの特徴
    • 有料
    • SEO対策済み
      • HTMLレベルでのSEO対策はどのテーマでもそこまで差はない？
    • 簡単入力機能付き(クラシックエディタ)
    • 便利ショートコード
    • ボタンクリックでプロデザイナーが作成したようなサイトができる
      • 下3つはブロックで何とかなるのでは……
• これからのテーマ選びはテーマの機能よりブロック
  • ブロックだけを提供するプラグインも増えるはず
    • 個人的に思っているブロックエディタを使い易くするための工夫
      • カラーパレット
        • 使える色の選択肢が多いと嬉しい。が、多過ぎると操作が煩雑になるので程々で。
        • yStandardはカラーパレットの色自体選択できる
      • テキストサイズ
        • 大中小のようなプルダウンで
        • 大きい文字が大き過ぎない方が良い
      • 幅広、全幅設定
      • 本文だけが表示できるテンプレート
        • ページタイトルやアイキャッチ、公開日付などが表示されないページテンプレートだとブロックを有効活用できる
          • 例: WordPress テーマ Nishiki
• 今後はブロック追加！
  • 吹き出し、Q&A、ステップなど
• やりたいことがいっぱい
  • Trelloの公開ボードと投票機能を使って優先対応の参考に: yStandard | Trello
    • 課題:
      • Trelloアカウント必要
      • みんなTrelloを使ってるってワケでは……
        • 今後フォーラム設置・投票機能を用意する予定
  • お知らせの記事を追加するのが大変
    • バグ修正で1行は心苦しい
    • かといってまとめようとすると改修が遅れる……
    • Twitterで情報をこまめに: yStandard(@wp_ystandard)さん | Twitter
      • アップデート履歴を見られるページを作成: アップデート履歴 | yStandard
• コンセプトは大切に

3. 絶対大事！WordPressセキュリティ対策！

• 登壇者: 家富 正幸様

内容

• こんなサイトが危ない
  • サンプル事例
    • 管理者IDがadmin
    • パスワードがadmin
    • 設置後15分でハックされた(！)
  • あるあるケース
    • パスワードが英語・数字どちらかのみ
    • 脆弱性のあるプラグインを使用している
    • DB管理ツールが無造作においてある
• 対策していない限りWordPressのユーザはすぐ分かる
  • どこから分かるか？
    • 投稿者アーカイブ
    • WP REST API
  • ユーザ名が分かればブルートフォース等で……
• プラグインの脆弱性
  • 例:
    • Yuzo Related Posts
      • XSS脆弱性(今年3月)
    • Easy WP SMTP
      • 未認証ユーザの管理者ログイン
    • ※2019/4頃。現在は修正されている
• IPAにたくさん出てくる
  • 例: JVN iPedia – 脆弱性対策情報データベース
    • プラグインが増えれば増えるほど母数は上がる
    • プラグインは何のために入れたかきちんと把握すること
• DB管理ツール
  • adminer.php
  • phpMyAdmin
    • あまり置かないほうが良い
  • DB内にJSの不正なコードを入れられるケース増
• 対策
  • WP SiteGuard Plugin
    • 日本のWAFソフト開発会社が提供
      • ログインURL変更ができる
      • CAPTCHA追加やエラーメッセージの秘匿化などがスイッチ1つで追加できる
  • IP GEO BLOCK
    • 管理画面やwp-ajaxへの不正アクセスを国コードで遮断できる
    • テーマディレクトリやプラグインディレクトリの直接アクセスも遮断できる
    • 必要に応じてフロント側も遮断できる
    • ログ化して後から確認できる
  • その他の対策
    • WP REST APIのユーザは無効化する
    • 投稿者アーカイブを使っていなければ制限する
    • wp-config.phpはパーミッションを400等にしておく。場所を移動をする。
    • wp-config.phpにdefine('DISALLOW_FILE_EDIT', true);を書いておく
• 強いパスワードが一番大事！
  • 例: 12桁ランダム英数字

4. Static Site Generatorライクな自作フレームワーク「Ususama」はWordPressと連携して新着情報を生成できるようです

手前味噌ですみません。私です。

Static Site Generatorライクな自作フレームワーク「Ususama」はWordPressと連携して新着情報を生成できるようです from Arm Band

内容

おおよそ内容重複していますが、お話しさせていただいた内容をもっと掘り下げた内容を[Ususama+WordPress連携] WordPressを更新するとGithub Actionsを利用して自動的にWPの記事を新着情報として静的サイトをデプロイするの記事に記載していますので、こちらもご参照ください。

懇親会

年末ということで後半は懇親会に。お菓子をつまみながらがやがやとWordressやWebのことについてお話を。

Github Actionsのワークフローで真言を唱えている。ソワカソワカ。 pic.twitter.com/kRhTKpg0PW

— 𝑨𝒓𝒎-𝑩𝒂𝒏𝒅 (アルム＝バンド) (@Bredtn_1et) December 4, 2019

Github Actions上で真言を唱える

必要になったのはツール上で、ツール名が火に関する名前なので暴走しないように水を入れることにする。かつ水もコントロールできるように陽の水ではなく陰の水とする。比和にならないよう調整して「辛亥」。
五行由来なので数字の五を付けて「辛亥五ノ村」。後は番地っぽい数字を付けて出来上がり。

— 𝑨𝒓𝒎-𝑩𝒂𝒏𝒅 (アルム＝バンド) (@Bredtn_1et) December 1, 2019

架空住所に陰陽五行思想を持ち込むなど 今回は現代魔術成分(?)多めでお送りしました。

二次会

場所を移して二次会を。こちらも盛り上がりました。

メモ

• tsuruya fun | 長野県東部に展開しているスーパーマーケット「TSURUYA（ツルヤ）」が好き」