WordPress ログイン

今日はWordpressを運用なすっている方へ、ちょっとしたセキュリティ対策をご紹介します。

その１ admin という管理者を作らない

というお話を１つ。

秘密は多いほうがいい

一般的に、

パスワードが盗まれなければ安全です

と考えがちですよね。
パスワードがバレなければ、不正ログインされないですものね。
あたり前な話です。

さて、ここで１つ。
記事を書くためには、管理画面へログインしますよね。
その時、２つの情報を入れるはずです。

ログインID　と　パスワード

この２つの情報のうち、

• IDは誰でも知っていて、パスワードは誰もしらない
• IDも、パスワードも誰もしらない

という状態があります。

いったいどちらが安全だと思いますか？

方や１つはバレています。後者は２つとも秘密になっています。
どちらが安全かと言われれば、それは後者ですよね。

IDもある種秘密な情報

ログインIDも、秘密な情報にしておけば、不正ログインを行う人は、ログイン時に秘密な情報を２つ入力する必要がありますよね。
でも、IDがadminと分かっていると、秘密な情報は１つしか入れなくていいわけです。

大きな違いですね。

なぜ「admin」という名はいけないの？

その昔、Wordpressをインストールすると、標準で「admin」という管理者IDが作られました。
その習慣もあってか、Wordpressをインストールする際、「admin」という名前で管理者を作る習慣が多く残ってます。
これは、運用上、管理しやすいのですが、このわかり安さが副作用に転じます。
悪意をもった人にとっては、格好な餌食をみつけた状態です。

ログインID　と　パスワード

この１つが分かったということですからね。
後は、パスワードを「手持ちの辞書」や「予測」「勘」などで総当たりすれば不正ログインできてしまいます。

adminがある方は対策しましょう

今からでも遅くないですので、adminというIDで運用をなさっている方は、対策を施しましょう。
早々に行うことは２つです。

• 新規に管理者IDを作る
• adminという管理者IDを消す

大きく２つ作業がありますが、余裕があれば「投稿専用のIDを新規につくる」というのも、入れておいた方がいいです。
通常は、管理者IDでログインせず、投稿専用のIDで運用するように心がけたほうがいいです。

操作方法

１）adminでログインする

２）ユーザを追加する

ユーザ新規追加

ユーザー追加

ユーザ名に、新しい管理者のIDを英字で入れましょう。内緒のIDです。
メールアドレスも入れてください。但し、adminで登録してあるメールアドレスは使えないです。
別のを用意してください。尚、権限グループは、「管理者」にしてください。
パスワードも新しいほうがいいですからね。

新しい管理者IDでログインする

adminをログオフしてください。そして、先ほど作った管理者IDでログインします。
これ大事ですので、お忘れなく！

adminユーザを削除する

「ユーザ一覧」を表示して、adminユーザを削除してください。
先ほどの「ユーザ新規作成」する際のメニューに「ユーザ一覧」がありますね。
選択後、右側に先ほど作成した管理者IDが追加されています。
その他に、adminという管理者IDがありますか？
adminと書いてある場所にマウスを持って行くと、「削除」というリンクが出てきます。
削除してしまいましょう。
削除ボタンを押すと、今までadmin名義で投稿してきた記事の所有者をどうするか聞いてきます。
新しいIDを選択してあげて、OKしてあげてください。
そうすれば、今までの記事が、新しい管理者名義の記事として登録し直されます。

余裕があれば違うIDを

余裕があれば、編集者権限か投稿者権限で違うIDを１つつくっておいてください。
一人で運用するのに、２つもID必要ないなーと思う方も、セキュリティ強化のためだと思って追加した方が良いです。
IDとパスワードは、使っていれば使っているほど、「漏洩する危険」が増えていきます。
ですので、普段使うIDは別にもっておき、管理するだけの管理者IDは別にもっておくということをお勧めしています。

いかがでしょうか？

少し面倒でしたか？
面倒でも、少しだけ設定してあるかないかで、雲泥の違いです。
管理者IDがとられてしまうと、じわじわと悪さをし始めます。
一気に改ざんされるならわかり安いですが、ずーっと居座られる場合だってあるわけです。
罠をかけられたり、そこから他の悪さを隠れてし始めたり。

皆様も、お気をつけくださいねん。
今日は、wordpressの管理者名についての記事でした！
でわでわ♪

こんにちは。Gem-one adITの権蔵です。
本日は、「キャッシュ」の話をご紹介。

キャッシュ？

そもそもキャッシュとはなんですか？という話ですが、ざっくり言ってしまえば

エコ機能

です。

• 一度訊いた内容は、二度も訊かない
• 経験した結果を覚えておく

などなどを、キャッシュという言葉で表すことが多いです。

どうして、それがエコなの？

というお話になるかもしれませんが、こう考えてください。

• １０４で電話番号を問い合わせお客様に電話をかけた。次に電話をかける時もＮＴＴに訊く
• 雪道をヒールで歩いたらずっこけた。明くる日も雪道をヒールで歩いたらずっこけた

そんな二度手間や、経験は無駄でしょう。

システムの中でも、こいった「無駄」を省くような作りを考えることがあります。
一番なじみが深いのは、このような「キャッシュ」の機能でしょう。

一度みたホームページを再度見に行ったら、表示が早かった

そんなことありませんでしたか？
キャッシュ機能によって、表示速度があがっています。

「ブラウザでＵＲＬを指定しホームページを表示させる」という手順は、実は内部ではこのようなこと繰り返しています。

１）ブラウザがＷｅｂサーバへホームページの情報を求める
２）Ｗｅｂサーバがブラウザにホームページの情報を差し出す

この処理を何回も繰り返し、ブラウザにホームページが表示されます。
さてさて。ここで問題です。

ホームページは、毎秒ごとに変更されるでしょうか？

特に、ブログなどを考えてみてください。
いかがでしょうか？変わりませんでしょ？
ホームページというのは、案外「変わらないデータ」が多いんです。そのことを利用し、ブラウザは問い合わせを減らします。
ＡさんがブラウザにＵＲＬを指定して、ホームページを見ようとしました。
さぁ、賢いブラウザは、こう考えました。

「あ、ここのＵＲＬはさっき見たから、さっきＷｅｂサーバに訊いた結果（キャッシュ）を表示してあげよう」

ホームページをＷｅｂサーバにきかずに画面表示させます。Ｗｅｂサーバへ問い合わせをしない分、速攻表示となるわけです。

キャッシュは誰が得をする？

さてさて、先ほど「ブラウザがキャッシュを使って表示速度をあげた」例をみてみましょう。
このキャッシュという機能を行うと、誰が得をしたか考えてみます。

１）ブラウザ利用者

が筆頭にあがると思いますが、もう何人かいるのは分かりますか？
たとえば、

２）Ｗｅｂサーバ
３）他のインターネット回線利用者
：

皆さん、得してます。
Ｗｅｂサーバは、基本的には「同じことを聞かれたからって手を省きません」。むやみやたらに聞かれなければ、他の処理に当たれますよね。得します。
他のインターネット回線利用者も得をします。ネット回線はＡさんだけが使っているわけではないからです。ＢさんもＣさんも使っています。３人が使っていれば、単純に３等分の回線幅ですが、Ａさんがあまり使わなければ、ＢさんＣさんがその分を使えるわけですよね。

こうしてみると、キャッシュというのは、沢山の「メリット」がありそうです。

デメリット

メリットばかりを強調していますが、デメリットもあります。
つまるところ、Ａさんのブラウザがキャッシュを使っている間、Ｗｅｂサーバに「現状」を聞かないということです。
聞かない分、速度があがりましたが、その分「リアルタイムな情報を聞いてない」わけです。
通常の処理ですと、ブラウザは「ある程度の時間がたったら、キャッシュをクリアーして、Ｗｅｂサーバに聞きに行く」という処理を行っていますので、このデメリットは出にくく設計されてはいるんですけどね。
ただ、キャッシュはしっかりきくもの。
ですので、このキャッシュ処理をブラウザが行うという理解を確り把握していないＳＥさんなりプログラマさんは、大抵、痛い思いをしていますね。
リアルタイム情報をみせたいのに、「ブラウザのキャッシュ」が働いて、「リアルタイムな情報」を要求してこないわけですのでね。
ただ、困ったことに、全部が全部、キャッシュされないようにするのも困る。
タイトルロゴマークなどの画像は、変わっても１年に１回とかですからね。
ややこしいですかね。
そういったことを考えながら、Ｗｅｂ設計をしていくのが、いわゆるシステムを作る人たちのお役目ですね。

キャッシュ

ＩＴの世界では、キャッシュという言葉が至るところに出てきます。
ネットワークの色々な技術の中でもキャッシュ機能がありますし、今回ご紹介したブラウザの中にもあります。
結構単純な「技術」なのですが、「単純」だからこそ効果が出やすい技術です。

次回は、少しシステマティックなキャッシュ構造をご紹介しようと思います。
ミドルウェア（キャッシュサーバ）による３層構造設計です。
お楽しみに！

こんにちは。Gem-one adITの権蔵です。
Gem-one adITのこのブログでは、適宜、ＨＯＷＴＯものを記載していこうと思ってます。
今回は、ＣＭＳ形態のホームページとして人気のwordpressの機能拡張のお話をさせて頂きます。
フィルターという機能の紹介です。

フィルター

私どものホーム-ページ作成サービスでも取り上げております、wordpressは、filterやactionなどの機構があります。
今回は、そのfilter(フィルター)を使ったテクニックを紹介してみましょう。

フィルターについて

全く話しは違うのですが、こんなイメージをつかんで頂ければと思います。

「自動販売機で１２０円のジュースを買う」、そんなシチュエーションを考えましょう。
１５０円を自動販売機に入れ、ジュースを選択した後、自動販売機は、こんなことをしてます。

1. スイッチが押されたジュースを出す
2. おつりを出す

ごく当たり前な処理ですね。
さて、皆さん、冷たい飲み物を自動販売機で購入すると、缶に水滴がついていたりませんか？
そこで、ある業者さんは考えました。ぬれている缶を拭いてお客様に出してあげたいと。
自動販売機の中のジュースが転げ落ちる「トレイ」の中に、マイクロファイバーのタオルをひいたのでっす♪
めでたしめでたし、お客様の手が濡れずにすみました。

こういったように、元々の自動販売機の一連の手順の中に、少しだけ「工夫」を入れてあげる。
この考え方が、wordpressでいうところのフィルターにあたります。
「フィルター」とは、wordpressが持つ元々の一連の手順の中に、少しだけ「工夫」を入れてあげることができるという「技術」です。

たとえばこんなこと

wordpressで言うと、どんなことが一連の手順なのでしょうか。
たとえば、それはこんなことです。

• ブラウザにホームページを出す
• ホームページ情報をデータベースから読み出す

大きな枠組みでお話していますが、実際には「ブラウザにホームページを出す」だけでも、色々な手順が入ってきます。
wordpressは、この１つ１つの手順に対して、あらかじめ「フックポイント」が多数作ってあり、このフックポイントに「マイクロファイバーを敷いておく」等の処理が追加できます。
そして、このフックポイントに「かけてある処理」を、wordpressさんは、毎回毎回、まじめに１個ずつ処理してくれるわけです。

こんなフィルター

さて、今回はこんなフィルターを紹介してお話をおしまいにします。
フィルターで大事なのは、２つです。

• いつの時点に工夫を入れたいのか
• 何をするのか

先ほどの自動販売機の例では、「ジュースが出てくる際」に「ジュースを拭く」ということでした。
今回紹介するのは、
「ホームページがアクセスされた時」に「履歴を残す」というものにしましょう。

add_filter('template_include', 'gemone_templateLoader');
function gemone_templateLoader($template)
{
  履歴出力( $template がよばれたよ！ );
  include( $template ); /*おまじない*/
  return false; /*おまじない*/
}

簡単に紹介しますと、add_filterの第１引数に「ホームページがアクセスされた時に」を指定しています。第二引数で、「履歴を残せ」としています。
どう履歴を残すの？という話が、functionに続く関数定義。
履歴を残すっていうのはね。。。という感じです。

まとめ

このようにして、wordpressはフィルターをうまく利用することで、１つ１つの機能を拡張することが可能になっています。本来持っているwordpressの充実した機能をさらに拡張し、ホームページを彩ることができます。

我々がご提供しているホーム-ページ作成サービスでは、このwordpressを最大限に利用したホームページ作成も承っています。

皆様、宜しくお願いします！