第4回 群馬 WordPress Meetup参加レポート

第4回 群馬 WordPress Meetupに参加してきたので、そのレポートを簡単にまとめさせていただきます。

セッション

1. きっと誰にでも簡単にできるWPへの貢献

内容

  • WordPressはオープンソース
  • 世界中の「貢献(contribute)」により成り立っている(「貢献」はボランティア)
    • 仕事とは別に行っているケースも想像される
    • 色々大変なはず……
  • 何か力になれることはあるか?
    • 例:
      • 開発
      • 翻訳
      • ドキュメント
      • サポート
      • etc.
      • →ハイレベルなイメージ
    • 誰にでもできそうなものはあるか?
      1. 普段お世話になっているテーマ・プラグインにフィードバック
        • レビュー: プラグイン選定の参考情報となる
      2. サポートフォーラムで質問する
        • 質問と回答が共有される
      3. 寄付をする
        • 作者の実利になる
      4. 直接フィードバックを届ける
        • 公式フォーラムの方が好まれるケースもあるので留意
        • Slackなどのコミュニティを持っている場合はそこで、というのも手
      5. Githubにスターを付ける
        • Star(★)を付ける
      6. ブログやSNSで紹介する
  • みんなでよりよくしていく
    • できることからやってみよう

2. 自作WordPressテーマを人気テーマにしたい妄想話

内容

  • 来年こそyStandardを人気テーマにしたい
  • TweetDeck – Wikipediaを使って情報収集
    • WordPressツイートでよく見かけるテーマの特徴
      • 有料
      • SEO対策済み
        • HTMLレベルでのSEO対策はどのテーマでもそこまで差はない?
      • 簡単入力機能付き(クラシックエディタ)
      • 便利ショートコード
      • ボタンクリックでプロデザイナーが作成したようなサイトができる
        • 下3つはブロックで何とかなるのでは……
  • これからのテーマ選びはテーマの機能よりブロック
    • ブロックだけを提供するプラグインも増えるはず
      • 個人的に思っているブロックエディタを使い易くするための工夫
        • カラーパレット
          • 使える色の選択肢が多いと嬉しい。が、多過ぎると操作が煩雑になるので程々で。
          • yStandardはカラーパレットの色自体選択できる
        • テキストサイズ
          • 大中小のようなプルダウンで
          • 大きい文字が大き過ぎない方が良い
        • 幅広、全幅設定
        • 本文だけが表示できるテンプレート
          • ページタイトルやアイキャッチ、公開日付などが表示されないページテンプレートだとブロックを有効活用できる
  • 今後はブロック追加!
    • 吹き出し、Q&A、ステップなど
  • やりたいことがいっぱい
    • Trelloの公開ボードと投票機能を使って優先対応の参考に: yStandard | Trello
      • 課題:
        • Trelloアカウント必要
        • みんなTrelloを使ってるってワケでは……
          • 今後フォーラム設置・投票機能を用意する予定
    • お知らせの記事を追加するのが大変
  • コンセプトは大切に

3. 絶対大事!WordPressセキュリティ対策!

内容

  • こんなサイトが危ない
    • サンプル事例
      • 管理者IDがadmin
      • パスワードがadmin
      • 設置後15分でハックされた(!)
    • あるあるケース
      • パスワードが英語・数字どちらかのみ
      • 脆弱性のあるプラグインを使用している
      • DB管理ツールが無造作においてある
  • 対策していない限りWordPressのユーザはすぐ分かる
    • どこから分かるか?
      • 投稿者アーカイブ
      • WP REST API
    • ユーザ名が分かればブルートフォース等で……
  • プラグインの脆弱性
    • 例:
      • Yuzo Related Posts
        • XSS脆弱性(今年3月)
      • Easy WP SMTP
        • 未認証ユーザの管理者ログイン
      • ※2019/4頃。現在は修正されている
  • IPAにたくさん出てくる
  • DB管理ツール
    • adminer.php
    • phpMyAdmin
      • あまり置かないほうが良い
    • DB内にJSの不正なコードを入れられるケース増
  • 対策
    • WP SiteGuard Plugin
      • 日本のWAFソフト開発会社が提供
        • ログインURL変更ができる
        • CAPTCHA追加やエラーメッセージの秘匿化などがスイッチ1つで追加できる
    • IP GEO BLOCK
      • 管理画面やwp-ajaxへの不正アクセスを国コードで遮断できる
      • テーマディレクトリやプラグインディレクトリの直接アクセスも遮断できる
      • 必要に応じてフロント側も遮断できる
      • ログ化して後から確認できる
    • その他の対策
      • WP REST APIのユーザは無効化する
      • 投稿者アーカイブを使っていなければ制限する
      • wp-config.phpはパーミッションを400等にしておく。場所を移動をする。
      • wp-config.phpdefine('DISALLOW_FILE_EDIT', true);を書いておく
  • 強いパスワードが一番大事!
    • 例: 12桁ランダム英数字

4. Static Site Generatorライクな自作フレームワーク「Ususama」はWordPressと連携して新着情報を生成できるようです

手前味噌ですみません。私です。

内容

おおよそ内容重複していますが、お話しさせていただいた内容をもっと掘り下げた内容を[Ususama+WordPress連携] WordPressを更新するとGithub Actionsを利用して自動的にWPの記事を新着情報として静的サイトをデプロイするの記事に記載していますので、こちらもご参照ください。

懇親会

懇親会のお菓子

年末ということで後半は懇親会に。お菓子をつまみながらがやがやとWordressやWebのことについてお話を。

Github Actions上で真言を唱える

架空住所に陰陽五行思想を持ち込むなど

今回は現代魔術成分(?)多めでお送りしました。

二次会

場所を移して二次会を。こちらも盛り上がりました。

メモ

この記事を書いた人

アバター

アルム=バンド

フルスタックエンジニアっぽい何か。LAMPやNodeからWP、gulpを使ってejs,Scss,JSのコーディングまで一通り。たまにRasPiで遊んだり、趣味で開発したり。