WordPressの祭典!WordCampKyoto 2017に行ってきました

よかったらシェアしてね

WordCampKyoto2017
2017年6月24日(セッションデイ)に、京都大学の国際科学イノベーション棟で開催された「WordCamp Kyoto 2017」に参加してきました!

京都大学へ、バスでついたものの、エリアの違う農学部で迷子。
オープニングには間に合いませんでしたが、最初のセッションにはギリギリセーフ。

さあ勉強しますよ!!

のんびり更新でゆるゆるとアクセスを伸ばす方法

講師:よしぱん

記事を書く時気をつけていること。

  1. 1記事内でバシッと解決させる
    ユーザーが知りたかったこと、欲しい情報を出すようにする。
    記事の内容が悩み系の場合は、「解決策 + 励まし」を書くと良い。
  2. タイトルとdescriptionに力を注ぐ
    書き上がった後に、「どんな人に読んでほしいか」を考えて決める。
  3. テーマが絞れて定期的に記事を上げられるなら、ブログランキングに登録するのもあり。

テコ入れは定期的に

記事を書いて1ヶ月後にアクセスを解析する。
それにより、必要な情報の追加や、キーワードの変更など、タイトルや記事内をテコ入れする。
季節コンテンツは毎シーズン前に見直し・追記をする。

モチベーションを維持するには

ブログ内の上位20%の記事は、SEO重視で力を入れ、残りの80%は、自分の好きなことを書くようにする。

Q.ブログの中に別のテーマがあっても大丈夫?(例:育児とWeb制作など)

A.自分のことを知ってもらえるので、結果的には良かったと思っている。
(よしぱんさんはフリーランスでWeb制作の仕事をしているので、クライアントがブログを読んでくれて「お子さんいるから急がないよ」など言ってもらえるらしい)
ブログ内では、カテゴリーなどで関連記事を出すようにしている。

Q.記事内の見出しもSEOを考えて作っているか?

A.見出しはそこまで気にしない。
大事なのはタイトルとdescriptionだと思っている。

Q.1記事にどのくらいの時間をかけますか?

A.SEO重視の記事は丸1日とかかけるが、自分の好きなことは30分から1時間ほどで書く。勢いで書く。

“外のモノサシ”を知れば、WORDPRESSはもっと楽しくなる!

講師:小賀 浩通

WordPressの10年の進化
Blogから始まり→CMSとしてよく使われ→REST API(App Backend)でもよく使われるように。

2017年のCMSのシェアは、WordPress 28.2%、Joomla 3.3%、Drupal 2.3%と、以前シェアトップ。
※「Google trends」というもので調べられる。

人気の動向は、イノベータ理論で言うと「レイトマジョリティ」に来ているだろう。
現在、ちょっと飽和状態のWordPressユーザーを、もう一度モチベーションを上げさせるにはどうしたらいいか?

ツクルよりうまくツカウーそれによってフラット化ー
ノンコーダーでもWordPressが使えるようになっている=スキルセットを問われない。
よって、目的やアイデアがあれば、使えるようになっている

Agliy(機敏、軽快さ)が強さを生む時代
「早くやる人の方が力を持つ」→ビジネスに繋がる。

外のモノサシをどう使うか?

クラウド=ホスティングだけではない。
WordPress + Elasticsearch(オープンソースの検索エンジン)
全文検索・レコメンドエンジン
WordPress + ‎Google Analytics
ランキングシステム

WooCommerce(WordPressプラグイン) + Amazon Rekognition
画像認識検索、スコアリング

WordPress + Intercom(CRMサービス)
チャットツール

小さく作って、APIで繋いでいく。WordPressはHUBとしての役割にもってこい

あらゆる形で提供できるのがWordPress。
なぜなら、圧倒的シェアがあるから。

縁結びの聖地でWordPressと恋に落ちたテーマ制作者の話

講師:富田 幸博 氏, 岩本 朗 氏
縁結びの聖地である山陰地方で、WordPressの公式テーマ「LIQUID PRESS(リキッドプレス)」シリーズ等を開発している会社さん。

公式テーマを作ったときの失敗例

  1. SNSボタンを入れた(プラグインの領域なので公式の場合、テーマに入れてはいけない)
  2. ショートコードをいれた?(同じくプラグインの領域)
  3. 既存の関数名がかぶらないようにしないといけない。
  4. 外部ファイルの読み込みはfunction.phpで。
  5. スクショ画像もGPL(利用者全体が自由にそのソフトを使えるように保証するためのライセンス)である必要がある。
  6. 文字列のエスケープ未対応(セキュリティのため)
  7. 国際化未対応(翻訳可能な文字列にしておく必要がある)

開発中便利なプラグイン

Show Current Template
現在のテンプレートファイル名、現在のテーマ名と読み込んでいるテンプレートファイル名をツールバーに表示してくれるプラグイン。

私の見たセッション4

WORDPRESSセキュリティ:攻撃対象になるのを避けよう

講師:Robert Rowley

サイトを攻撃してくる人はだれ?

99%はブラインドアタックである。
特に「このサイトを狙ってやろう」と対象とされているわけではない。(政府などのサイトは例外)
どんなWebサイトでもいい。確率を上げるために、手当たり次第アタックしているだけ。
サイトにはいろいろなbotがアクセスを試みている。

なぜ攻撃するのか?

リソースを求めて攻撃している。最終的にお金を集められるから攻撃をしている。

対策方法は?

「password」というパスワードが一番狙われていた。他にpokemonや、narutoなど。
なので、難しいパスワードを使うことが重要。
2つの認証を使うのも効果的。
※でもいつかは攻撃されるので気を許してはいけない

WordPressのアップデートが見つかれば、早く対応する。
攻撃側のスキャニングには2日ほどかかるので、2日以内にはすること。
何千というサイトを攻撃するには1~2日しかかからない。

その攻撃により、Webサイトが破壊されることもある。

WAF(ウェブ アプリケーション ファイアウォール)を入れることも効果的。
※WAFの設定はサーバー側になる。

テーマやプラグインで、必要なパッチは必ずすること。

モニタリングも必要。アタックしてくるもののログを取ってチェックする(そういうプラグインがあるらしい)

たまにアップデートをを拒む人がいるが、サイトの大きさにかかわらず、リソースは狙われている。アップデートはしてください。
多すぎたり、不要なプラグインは捨てること。

ゼロデイ攻撃の場合は、パッチが出るのを待つしかない。出たらすぐあてる。

パーミッションを777(すべてのユーザが書き込み可能)にするのは絶対にやめる。

シリアライズは危ないので、JSONデコードを使おう
シリアライズとは、ソフトウェア内部で扱っているデータをそのまま、保存したり送受信することができるように変換すること。アクセスが簡単。

最新のphpを使うといい

常にセキュリティのトレンドを入手すること。

セキュリティ対策に、万能薬はない。常に自分でウォッチしなくてはいけない。

Q.海外からのアクセスを禁止することは有効か?

A.安全対策として有効ではない。
旅行先からアクセスしたいユーザーなどもいるから。

Q.いい対策ある?

A.セキュリティについて知識のある、良い会社と契約すべき

Q.どのパスワードマネージャー使ってる?

A.パスワードをクラウドに上げることも悪くはない。
しかしアクシデントもある。でもローカルに置くと、複数のコンピュータでの共有はしにくいよね。

Q.プラグインの選択方法を教えて

A.2年間更新されていないのはNG。
また、いくつインストールされてるかをみる。20人しかしてなければ今後開発が止まる可能あり。人数が多ければ、今後のセキュリティホールへの対応も早かったりするので。
サポートちゃんねるを見るのもいい。
レビューはあてにならない。
開発者側の「セキュリティFixをやった」というメモを恐れないで。セキュリティ対策をしてくれる開発者であることがわかる。

WORDPRESSーアジアでの成長と未来 (WORDPRESS IN ASIA: GROWTH & FUTURE)

講師:JON ANG

世界でのWordCampの開催数(多分2017年の)

アメリカ30、ヨーロッパ10、アジア6,アフリカ3(予定含む?)

アジアでWordPressは本当に知られているのか?

日本の銀行はWordPressを使うだろうか?→NO。WordPressは信用されていないだろう。
日本ではWordPressの売り方を間違えたのでしょう。
Blog(2003年)→CMS(2010年)→Framework(2016年)
という流れから、
「(WordPressの)ページを売る」という、量として見られている。
これから、私たちはバリューで売るべき。

トラストマーケティング
WordPressの悪いイメージを払拭しなくてはいけない。
それには、強みと、限界を知らなくてはいけない。

また、WordPressは国からサポートされていないのが問題。
アメリカでは、オープンソースは危なくないものとしてサポートしている。

WordCamp ASIAを盛り上げることで、企業に「いいもの」というイメージを付けさせたい。

Q.アメリカは銀行でもオープンソース的なものを使ってる?

A.使ってます。
まず出版社から広まっていった。記者は特にWordPressが好き。

自治体サイトのWordPressのメンテナンス

講師:前川 昌幸
自治体サイトのWordPressの話。(フィクションです。しかも結構はしょってます)

とある自治体のWordPressサイトが改ざんされる。
なんとかサーバー会社のバックアップで戻す。パスワードクラックを受けたらしい。

近日イベントを行うが、また改ざんされないか心配。

前川さんの会社に相談
聞いてみると、いくつかWordPressサイトを運営しているが、サイトの制作は、制作会社からの切り売り(作って終了。保守契約などはない)。

【調査】

  • WAFの導入(サーバー会社と相談)
  • バックドアを仕掛けられていないか調査

【結果】

  • uploadsディレクトリにphpファイル(メール送信スクリプト)があった。
  • スパム送信の踏み台にされた、もしくはされる予定だったか。
  • バックアップで直してからの、htaccessファイルや既存ファイルの改変はなかった。
    (htaccessが改変されると、pngやjpgファイルでもphpを打ち込めたりするらしい)
  • アップデートがされていない
    同じプラグインが複数バージョン存在したり(_bkなどの名前をつけてあった)、開発が停止しているものもあった。
  • 作業用の開発環境いるよね!
  • WordPressのマイナーアップデートはすべき。プラグインは、メジャー・マイナー関わらず最新に。
    注意)メジャーアップデートでコンテンツが表示されなくなるページがでた!!
    →アップデートせずに、経過観察。
    かなり騒がれた、WordPress 4.7と4.7.1の脆弱性問題では、コンテンツの閉鎖も検討したが、利用状況的に閉鎖は無理と判断。最終的にコードを修正(最終手段)。

コアやプラグインを、自動アップデートしたいところだが難しい。(専用サーバーなら出来なくもない)

メンテナンスは重要

ツケは溜めれば溜めるほど大きくなる。
限界を認知しておくことも大切。

Q.検証環境用のサーバーで気をつけることは?

A.PHPのバージョンを合わせるなど。

Q.セキュリティ情報はどこで収集すればいい?

A.IPA 独立行政法人 情報処理推進機構はみてます。
他に、サイバーセキュリティーさん、とくまるさんなど。。。
WordPressのセキュリティについては、知りたかったので、とても勉強になりました。
とにかく、「プラグインや、コアのマイナーアップデートは1〜2日以内に!!」
と何度も言っておりましたので、個人のサイトはアップデートさせました…。

会社のはまずテストサイト作らねば….。


せっかくなので、空いた時間に京都大学の食堂へ。
込みまくりで次のセッションに間に合いそうもなかったので、泣く泣く撤退。
正面の写真だけでもパシャリ。
kyoto university

スポンサーブースも、ほとんど回らせてもらい、ステキなノベルティグッズをたくさんもらいました(o^^o)

私の仕事場のペンは、皆様のノベルティボールペンで成り立っております。

paypalさんのノベルティ、モバイルバッテリー
今回ノベルティが豪華すぎて、見栄も外聞も捨てて「ください!」とすがりついたのがPayPalさん。
モバイルバッテリーとTシャツをいただきました!
WordPressへ、簡単に電子決済サービスを入れられるって、すごい世の中になったもんだ。
誰でもお店開けちゃうのか。

京都大学 農学部
たくさんのセッションが聞けて満足でした!
体調良ければ懇親会行ったんですが、無念。。。

来年は、スタッフとしてまたやってみたいな〜と思う WordCampKyoto 2017 でした。
最後の写真は、朝迷子になってた京都大学農学部のさわやかな並木道です(暑い