WordCamp Tokyo 2013に参加して(速報)


昨年7月にWordPressコミュニティ(WordBench京都)に初めて参加し、昨年の9月に初めてWordCamp Tokyo 2012に参加しました。まだその時には、WordPressの深い知識もなく、それを勉強する、雰囲気を味わうことが主目的でした。それからWordPress大阪と行動範囲が結構広がり、1年を振り返ってWordPressに関する様々な知識を得るとともに、多くの人達と交流できたなぁと思います。

1年経った今、WordCamp Tokyo 2013に参加することで今後1年どのような展開になるでしょうか。私自身も楽しみです。

WordCamp Tokyo 2013も終わりに近づいてきました。手持ちPCのバッテリーが切れそうなので、速報としてそれまでのものをアップしておきます。今回は「セキュリティ」をテーマに様々な知識を手に入れることが出来たなと思います。今回得た知識を早速来週から管理サイトに適応しよう!

関連情報

前夜祭

前夜祭会場

前夜祭会場(ニーハオ大飯店)

とりあえずいったら閉まってました T_T;
開始時間に行き違いがったそうですけど、いずれにしても貸切状態。
いやでも正面のシャッター開けておいてほしいなぁ、ここでいいんだよね?と思わずネットで再度調べなおしてしまいました。

ここで嬉しいことに、大学の後輩に会いました。なんと所属研究室も同じで担当教員の定年退官記念パーティでしゃべっていたという。後輩って言っても年代が違うことと、パーティの時はスピーチ頼まれてテンパっていたので気づけませんでした u_u;

さて、前夜祭では宮内さんや三好さん等と歓談しました。
明日登壇されるSara Rossoさんが来られてましたね。

ホテル情報「東急ステイ鎌田」

http://www.tokyustay.co.jp/

東急ステイ蒲田

東急ステイ蒲田

毎回書き忘れているんですが、ホテル情報も重要です。「あれ、あそこってどういうところだったっけ」忘れることも結構あります。メモしておくと何かの折に役立つかな。
昨年WordCamp Tokyo 2012用のFacebookグループ用に招待してもらって、そこでこのホテルを紹介していただきました。今回も数名泊まっておられるようですね。

出来てまだ真新しいのに、結構安くて(朝食付きで8000円台)いい感じです。

またセキュリティもICカードが使われており、エレベータ内でICカードを使って初めて自分が関係する階だけにいけるシステムになってます。
つまりボタンを押しても反応しないんですね。複数乗った場合にもそれぞれでICカードをタップしないと自分の階にいけないってシステムです。部屋もICカードでタップですから、楽ですねぇ。さすがに去年できたばっかりってこともありますけど、それでいてそれなりに安価ってのはいい感じです。

ネットワーク:各階の名称で無線LAN完備です。

寝具:用意されてます。

洗面所

歯磨きセットとドライヤー

シャンプー・リンスオッケー

シャンプー・リンスOK

靴磨きもありますな。

WordCamp Tokyo 2013開催日!

※写真は後日(編集が必要なため)

朝食前に連続テレビドラマ「あまちゃん」を見ました〜。面白いことになってますね。
朝食は、Campスタッフとお会いできたので少し歓談しました。
いつもと異なり、ピラフ、パン、サラダ、スープ、オレンジジュース、紅茶(コーヒーと間違えた T_T;)という構成で量もかなり減らしました(痩せねば!)。

さて今回はアンカンファレンスが主体です。いろいろ考えましたが、

  1. WordPress仲間を作ろう(11時〜)→PHPカンファレンスCMSパネル(10時45分〜)
  2. WordPress 基調講演(13時〜)
  3. WordPressセキュリティパネル(14時〜)
  4. 運用セッション(15時〜)

にしました。今回初めて合同で開かれたPHP Conferenceのセッションを最初に見ました。
今回はアンカンファレンスなしのセッションメインですね。
いや聞きたいことが目白押しで、選択権がないんですよ。
欲を言えば、テクニカルセッションや座談会も出たいんですが、時間が・・・。内容が濃いから2日にわけて開催してほしいなぁと思った今日このごろでした。

※下記については発表者の言葉を筆者の理解のものでまとめたものです。筆者自身の心の声は「※」から始まるものです。

PHPカンファレンスCMSパネル

(1/6) baserCMS

コーポレートサイトにちょうどいいCMS

※固定ページがメインで、それにブログ、メールフォーム、スマホ・携帯対応の特定プラットフォーム用のバンドル的なもののようだ。

CakePHPがベースで、安心の国産(福岡発)

MITライセンスになっているので、自由なシチュエーションで利用できる。

(2/6) Drupal

デザインが可愛く無いと言われている…
PHPベースで使いたい機能だけをモジュールという形で組み込んで使うスタイル。
世界3番目(WordPressがトップ)とのこと。
ホワイトハウス、フランス政府、スタンフォード大学を始め様々な大手サイトで使われている。

(3/6) Geeklog

コアメンバーに日本人が2名コミットしているので、日本語にも強い(多言語対応)
セキュアな環境と高速化が特徴。
CMSだがブログ機能も最初からついている。

(4/6) NetCommons

可愛さで選んで!マスコットキャラが可愛いよ!
モジュール開発がしやすいので、開発のベースとなるプラットフォームとして利用されることも多い
会員管理が容易
国産

(5/6) Novius OS Chiba

FuelPHP + HTML5 + jQuery UI + Wijmo等新しい技術が使われている。
多言語対応
日本語住所対応
コアチームは、FuelPHPにもコミットしているので、プログラム基盤との親和性が高い。

(6/6) WordPress

世界第1位のシェア(サイト全体19.8%, CMS内では58.2%)
先月でた最新3.6。以前からレスポンシブルデザイン(携帯でもPCでも同じように見ることが出来る)

突撃!隣のCMS管理画面を見てみよう

(1/6) baserCMS

  • 左サイドメニューのカスタマイズが可能
  • メールフォームの編集(郵便番号の自動入力機能がある!)

(2/6) Drupal

  • ダッシュボードのカスタマイズが可能(◯年前に更新されたデータですよ、コメントありますよ〜みたいな通知なども可能)
  • 承認ワークフローが複雑に可能(課長→部長など複数の承認を経ないと公開できないとか)
  • フィルターによる記事の表示が可能

(3/6) Geeklog

  • サイトのデザインのまま編集や管理が可能(コンテンツに編集マークがあって、そこから編集できる)
  • OAuthサポートを本体提供
  • 充実のアドバンストエディター
  • 日本語のドキュメントが充実(日本人のコミッターもいるので)

(4/6) NetCommons

  • サイトのデザインのまま編集等が可能
  • 会員の属性も細かく設定できる(個人情報管理)

(5/6) Novius OS Chiba

  • 前回ログインした状態を保全しておいてくれるので、次回利用時便利(編集中のデータがあっても、そのまま開いてくれる。ただし大量に保全されたデータを開くと時間がかかるので、一般にはある程度は閉じておいたほうがいいかな?)
  • アプリケーションによる機能拡張が可能

(6/6) WordPress

  • テーマの設定を可能
  • アップロードした画像を変更できる(サイズ変更、切り抜き)
  • リビジョンによる記事保全
  • 集中執筆モードによって、執筆に集中できる

WordPress 基調講演(Enterprise site)

Automattic社のSara Rossoさん(VIP対応を主にしている)が登壇。
wordpress.comの運営をしている。

世界で19.6%使われていて、去年から2.9%増えた
wordpress.comには500万のサイトがある。

最新版は3.6だが、3.7/3.8の開発が並行して行われている。

VIP WordPress.com には様々な機能がある。それらを下記で紹介してみましょう。

  1. Media & Publishing
    CNNなど。Japan Reatimeもそう。WordPressのブログは、少しテスト的に初めてうまくいきそうなら、大きなサイトに適応するということをしている。WALL Street journalでもAPI等を通じて記事のストリーミング発信をしている。広告主とともにサイトを作るようなことするなど新しい試みもしている。CBSは、1つのテーマで何百のサイトをコントロールしている(子テーマを利用)。一つのニュースを地域版、全国版相互連携して載せるなどの試みをしている。スーパーグリッドを作成するトライアルもしている。Metro(イギリスの有名なサイト)、スワイプをデスクトップでも出来るようにしたってこと。これを使えばページビューが増える(2倍)ということがわかったとのこと。Bangor Daily News(Google Drive, WordPress, InDesingを使って構成)、BBCの番組サイト(素早く新しい番組のサイトを作ることができる、子テーマを使っている)。
  2. 政府関係
    オープンデータという考え方がアメリカで流行っていて、それにのっかり、政府が情報公開するときに使われている。NASAは3つのサイトをWordPressで同時公開したという(open.NASA)ビッグニュースがあった。NASAの動きに合わせて、data.GOVを政府が立ち上げた。Made in NY(起業化を推進するサイト)、Sites.USA.govを活用することができる。
  3. 教育と非営利団体
    特徴は、あまりお金がないということ。Helth Reformに関するサイト(Kaiser Family)、寄付サイト、Harvard gazette(ハーバード大学の公式ニュースサイト)–レスポンシブデザインを採用し刷新–、Harvard Business Review、Bates大学(すべてのサイトをWordPressで構築)
  4. 小売とエンターテインメント
    ユーザーとのインタラクティブ性、まとめサイト等として活用されている。ファッション情報とか。ティファニーなども使っている。
    デジタルハブとしての活用<Katy Perry(複数のWordPressサイトを1つのサイトで纏める)、The Rolling Stones(コンテンツを集めるサイトとして活用)、ジェームズ・ボンド007>などなど。
  5. Japan & WordPress
    ライブブログとしての活用されている例が多い。安倍首相のサイトとか

The WordPress Secret Weapon: You

WordPressを使う時にはボトムアップ的に使われることが多いことが特徴。
つまりトップダウン的に使ったほうが便利だということではなくて、現場が使いたいという声を受けて作成されることが多い。
※つまり現場の声が活かされる可能性が高いってことかな。

一日でプロトタイプを作成して、WordPress採用された例がある

26,800のプラグインが公式ディレクトリに掲載されている。

Jetpack by WordPress.com

作ってもいいし、しかしこういう機能がすでにあることは知っておいて欲しい。

日本では翻訳の試みが結構多い

GO Mobile

いくつか作成されている。

WordPressセキュリティパネル

※パネリストはセキュリティ専門家のため、そもそも改ざん経験がない。また困ることがない。だからパネリストでの会話が弾まない….
ならば、会場から経験者を募って対話したらよいかなぁと思いました。

脆弱性対策情報の深刻度別件数(IPA)によれば、WordPressがダントツに多い。
→気軽にカスタムできてしまう、サードパーティのプラグイン・テーマ、利用者数が多い等があるからであって、他のCMSと比べてセキュリティ脆弱性が特別ひどいということではない。

  • Hacked by Krad Xin(ロリポップサーバーのWordPress大規模改ざん事件)

が結構有名

1. テーマプラグインの問題

XSS、SQLインジェクション、CSRFが主に利用される

対策:セキュリティ対策を行なう、セキュリティ機能を利用する(esc_htmlメソッド等)、規模や保持しているデータの機密性に応じてセキュリティ診断を受ける

IPA安全なウェブアプリケーションの作り方などを参照)

2. 古いバージョンを使い続ける

過去の脆弱性を利用したツールはを使って、比較的簡単に攻撃を受けてしまう。
更新されていないプラグインも同じことである。

対策:WordPress、プラグイン、テーマなどの更新を必ず行なう(自動アップデート機能も活用する)

3. 管理画面の設定不備

固定的のため(/wp-admin/)、これを狙われる。

対策:ユーザー名「admin」を使わない、管理画面をSSL通信を必須、BASIC認証、IPアドレス制限などアクセス制限をする

4. ユーザー権限の設定不備

対策:管理者権限で出来る事は結構多いので、権限を見直す必要がある。

これはセキュリティ屋の理想論ではあるが、本当に現場で可能なのか??

改ざんされた経験

パネリストは誰も改ざんされたことがない..

共有サーバ上のFTP接続経由でやられる事が多い。
FTP閉じて、SSHのみにする(公開鍵・秘密鍵認証)+IPアドレス制限をするとサーバーの設定不備で改ざんされることは非常に稀となる。

デジタルキューブのサービスがセキュリティが高い(月3000円)

セキュリティ事件に遭遇した?

自作プラグインの脆弱性をつかれてやられた場合には? … 修正版をだす

公式プラグインならそれなりのチェックを受けるので、そこそこ安心(プラグイン審査はとても緩いがテーマは結構厳しい)だが、野良プラグイン、テーマは信頼ならない。しかしながら、どうしても導入しなければならないなら、チェックするプラグインを入れるとよい。

いずれにしても利用する側自身がプラグインのことを理解しておかないといけない。

よく使われるプラグインでも脆弱性があるものが多い。しかも半年以上放置されているケースも多いのが現状(Contact Form 7はよく使われるプラグインTOP100に入っているが、これは脆弱性がないと診断されたとのこと)。

WordPress 3.6.1がリリースされた… 安倍首相のサイトは3.3.1 ….

アップデートすることで動かなくなったら責任を取れないので、なかなか更新できない。
3.7(開発中)は、Google Chromeのような自動アップデートが適応されるようだ。

http://wordpress.org/about/stats/ を見れば、3.6を使っているのは11.7%しかない…

※アップデートで死亡するプラグインやその他の要因が結構大変。しかもサイトが多いとどうにもならないことが多い。有料プラグインを使うとダメージが大きいですね。

こっそり、WordCamp Tokyo 2013のリレーブログを使っているサイトは?
3.6.1=7、3.6=11までは連休挟んでいるから仕方ないとして、3.5.1=3, 3.4.1=1, MT5.02=1 …

※最新版がいつでるかの通知が欲しいな(また探さねば)

WordPress 運用セッション

深海 = サーバーエンジニア+創業者(AWSを使ったサービス)
菅家 = ウェブメディア開発・コンサル会社(プログ支援ツール「カエレバ」)
一戸 = 株式会社ロクナナのWebサイト制作のディレクション、クリエイティブ・ディレクター

1. WordPressって本当に無料? – サイト保守の大切さ

一戸 = 20-30万〜200-300万円ぐらいの規模。
菅家 = 10万前後からそれ以下。
深海 = 監視メイン(1台フルで3万円)

保守って?

  • 一戸 = 月額で◯万円ってのが保守。家賃、清掃(メンテ)などのようなもので、何もなければ価値を見いだせない難しいもの。コンテンツの微調整(月◯回とか)費用のようなニュアンスだと理解してもらいやすい。
  • 菅家 = 月額数千円で顧客にレクチャして覚えてもらってから手放す

2. サイト運用術 – 自分のサイトで直接収益をあげる

菅家 = 土曜日以外は毎日アップしている。自分が困ったことの解決策を載せる。

ただ個人ブログをやるだけでWordPressを入れるのは勿体無い。
WordPressを作ったサイトを受注するほうがいいかも?

一戸 = 学校のサイトの場合、ウェブ担当が情報系の先生だったりする。またウェブ担当は顧客との繋ぎ役である可能性が高い。

土日の試合で土曜日の試合の写真を日曜日にもう求められるぐらい見られている状況である。

3. セルフブランディング術 – スキルを拡張して収益をあげる

… これは直接聞かないと心に響かないでしょうね。そのためここで纏めるのはやめておきます。纏めづらくもありますしね。機会があれば是非直接参加して聞いてみてください。

質疑応答 from Twitter(#wctokyo, #wctokyo2)

あんまり反応ない…

24時間保守対応が必要なケースは → パートナーを紹介

2013年9月14日 木谷

広告

WordCamp Tokyo 2013に参加して(速報)」への2件のフィードバック

    • ありがとうございます。
      速報=その場で理解したことの速記
      でして、聴きながらメモって頭に焼き付けるようにしています。

      後は写真と全体的な見直しなのですが、先週までアメリカいっていたりとまだ時差ぼけが治っておらず
      そこまでたどり着けていない今日この頃です〜

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中