はじめに
WordPresによって高度な知識持たずともホームページを制作出来るようになりました。巷では魔法のツールかのように紹介されています。しかし、WordPressにはデメリットやリスクもあり、よく考えた上で使わなければ、「WordPressはダメだ。別の物に変えよう」なんて事にもなりかねません。
この記事では、WordPressを使ってホームページを制作することを検討・予定している方を対象に、知っておいてほしい事や考えてほしい事について記述しています。
常に最新版へアップデートして運用しなければならない
WordPressでは不定期に新しいバージョンが配信されており、その度にアップデートを行い、常に最新バージョンを使うことを前提として公開されています。自動更新機能はありますが、手動アップデートが必要な時もありますし、プラグインについては標準仕様では手動更新です。しかし、適切なアップデートが行われず、完全な最新バージョンでは無い状態で公開されているWordPressは多く存在しています。
アップデートされない実情の理由
1.”良く分からないから”という理由で放置している
運営者自身でなく専門業者に依頼して制作してもらったが、アップデートに関する説明など無く、アップデート通知が表示されているものの、下手に触るのは怖いので放置しているパターンです。
2.アップデートに気付かない仕様になっている
これには下記2パターンあります。
- 運営者が管理者権限を有するアカウントを持っていない(知らされていない)
- 運営者のアカウントで管理画面にログインした時はアップデート通知が非表示になるようにカスタマイズされている
管理者権限がないアカウントでは、システムに関わる通知は一切表示されないので、WordPress本体はおろかテーマやプラグインのアップデート通知すらも知ることは出来ません。
また、運営者に管理者権限を与えるものの、アップデートに関わる作業は行ってほしくない事を目的として、アップデート通知が表示されないカスタマイズがされている事もあります。
3.”何か起こりそうで怖いから”という理由で放置している
ウェブサイトが完成した時、それはすなわち表示も動作も何も問題が無い状態でもあります。アップデートの必要性自体は把握しているもの、アップデートすると今の状態に変化が生じ、修正を施さなければなる可能性を危惧し、意図的に放置しているパターンです。
アップデートに対するリスクを認識しているのは良いのですが、だからといって放置するという対応は問題があります。
4.管理者不在
管理する人が居ないので、誰の手も加えられない状態です。更新しないのであれば、閉鎖しましょう。でも、特別な事情でそうなってしまった事も考えられます。
アップデートしないことで起きうる問題
最新版以外にはセキュリティホール(脆弱性)が存在する場合があります。そこを突かれたらどうなるでしょうか? 別の例で例えるなら、穴が空いたまま傘を使っていて穴から雨が通り抜けた状況です。何らかの被害に遭うことは明白ですね。
ウェブサイトがフィッシングサイトへの踏み台にされるかもしれないし、不正プログラムを設置されてスパムの送信元にされたり、ウイルスを埋め込まれたり、データベースのダンプデータを引っこ抜かれて記録されているデータが流出するかもしれません。
攻撃を受けるという事は、被害者になるだけでなく加害者になる可能性もあるわけです。ウェブサイトを公開するのであれば、責任を持って管理しましょう。
世界で最も狙われるCMSである
全世界のウェブサイトの3割はWordPressで作られています。数あるCMSの中でWordPressのシェアは約6割で第一位です。ゆえに、 多くの攻撃者から狙われます。
サーバーのアクセスログを確認すると、WordPressが設置されていようがいまいが管理画面へのログインを試みた記録が残されている事は頻繁にあります。
運悪く侵入を許してしまえば、改ざんや流出の被害を被る事になりかねません。
プラグインに依存するほどトラブル発生率が上がる
プラグインはWordPressの機能を拡張するもので、標準では出来ない事も高度なプログラミング無しで可能にしてくれます。ただし、プラグインの殆どはWordPressの開発チームでは無い組織または個人が提供しているもので、必ずしもWordPressのアップデートに合わせてサポートが恒久的に得られる保証はありません。
ここでいうサポートとは、下記3つを指します。
- 現行バージョンのプラグインが最新バージョンのWordPressで問題なく動作することが常に明示的にされる(WordPressのプラグインページにおける”対応するWordPressバージョン”の欄が、WordPressのバージョンアップに合わせて更新される)
- WordPressのアップデートに合わせてプラグインもアップデートされる
- 何らかの不具合が見つかった場合にアップデートされる
- プラグインのサポートフォーラムにおける質問に対して、プラグイン開発者からのフォードバック(回答)がある
対象とするプラグインのサポートが現在も継続されているか明確に判断出来ない事は多く、WordPressがアップデートされた後も対応WordPressバージョンの欄が待てど暮らせど更新されない状況などによって初めて気付きます。
そのような状況に見て見ぬふりで放置し続けると、あるときWordPressのバージョンアップで動かなくなり、あわてふためく事になる事があります。
また、プラグインがアップデートされたとしても
- 最低動作環境の引き上げによって運用するサーバーでは動作環境を満たせなくなった
- 深刻なバグが含まれていた
といった理由により、アップデートするとWordPressが動かなくなる事もあります。
プラグインに依存するサイトが抱えるリスクがお分かりでしょうか?プラグインに頼らなければ実現しない仕様であるなら、将来的なリスクを考慮してfunction.phpや子テーマによるカスタマイズを行うか、WordPressではない他のCMSや、目的に特化した他ソフトウェア・サービスの利用を検討すべきです。
カスタマイズによりサポート対象外になる可能性がある
プログラムを書き換えてカスタマイズする事により、標準のデザインや動作を自分好みに変える事が出来ます。WordPressのようなOSS(オープンソースソフトウェア)の良い所でもあります。
WordPress本体のカスタマイズであれば、公式のフォーラムでもボランティアの方々がサポートしてくれるでしょう。テーマとプラグインのカスタマイズは、無償で提供されている場合は使用しているユーザーが多ければ可能性はありますが、有償で提供されている場合は公式のフォーラムではサポートされず、提供元も「個々のカスタマイズに対してはサポート対象外」としている所が殆どです。
カスタマイズに関する知識を十分に会得しているのであれば問題ありませんが、制作を依頼してカスタマイズされていた場合は、何か問題が発生した時(例えばバージョンアップ時)に困ってしまうかもしれません。
比較的高いサーバースペックが要求される
WordPressはCMSというシステムであり、情報を記録しているデータベースから取得したデータを元にページ(HTML)を生成して返すといった処理を行っているので、ページが表示されるまでの時間はサーバーのスペックに影響されます。
正確には、ページが表示されるまでにかかる時間は、サーバーにアクセス(リクエスト)してからデータが返ってくるまでにかかかる時間(サーバー応答時間)と、返ってきたデータを受け取ってウェブブラウザが描画するまでの時間(レンダリング時間)の2つに分けられます。
つまり、限りなく軽くてシンプルなページを用意しても、サーバーが貧弱であれば完全に表示されるまで待たされる事になります。一般的に、サーバー応答時間は200ミリ秒(0.2秒)以内が望ましいと言われますが、これを満たすには高速なサーバーを用意する必要があります。維持費の安さだけでレンタルサーバーを選択すると、後悔する可能性は非常に高いです。
また、応答速度の遅いサーバーはSEOの観点から不利であり、検索順位の上昇を妨げる要因にもなります。
常に新しい動作環境が要求される
これからWordPressを設置しようとするならば、WordPressが推奨する環境を満たすサーバーを用意して下さい。もし、最低限の動作が保証されている環境に設置した場合、将来のバージョンアップでWordPressやプラグインが動作しなくなる可能性があります。現時点で、PHP 5.xしか使えないようなレンタルサーバーは全体に選択しないようにしましょう。
WordPressの推奨動作環境には、動作に必要な環境の比較的新しいバージョンを求められます。利用しようとしているサーバーが、動作環境となるプログラム(特にPHP)の新しいバージョンを定期的に追加しているか、きちんと確認しておく必要があります。
アップデートが失敗して障害が発生する可能性がある
稀に、アップデートを実行した直後に高負荷やファイル破損などによってサーバーエラーが発生し、WordPressが正常動作しなくなる事があります。
ちなみに、レスポンスの悪いサーバーを使っていると、アップデート時に高確率で”Internal Server Error”が発生し、メンテナンス状態のままになってしまう事があります。サーバーの応答速度についても調べておいた方が良いでしょう。
障害対応に一定以上スキルが求められる
障害が発生した場合、すぐに問題解決にあたる必要がありますが、下記に挙げる程度の事が実行出来なくてはなりません。
- サーバーのエラーログを確認出来る
- エラー文を元に解決策を調査出来る
- エディタを使ってファイルの編集が出来る
- サーバーのコントロールパネルにログイン出来る
- サーバーとのファイル転送が出来る
- データべース管理ツールにログイン出来る
もし、自分で出来ないのであれば、迅速に対応してくれる人を見つけておく必要があります。
テスト環境の構築を必要とする
WordPressに限らず全てのウェブサイトに対して言える事でもあるのですが、もし一般公開されているウェブサイトが想定外の障害発生によって正常に稼働しなくなったとしたら、どうなるでしょうか?何かを求めてやってきた訪問者はアクセス出来ず、収益化しているのであれば売上を失ってしまいます。それが、他人のウェブサイトであるならば責任重大です。
先述したWordPressによるアップデート時に起こりうる障害について、サーバーの負荷によるものは予測しにくいですが、プラグインやテーマをアップデートした後も最新のWordPressで問題無く動くかどうかは、検証用のテスト環境があれば予め確かめておく事が出来ます。
このようにWordPressを使ってウェブサイトを運用するのであれば、テスト環境は必ず用意しておく必要があると言えます。
最後に
WordPressは、無償で使用出来る代わりに”自己責任”が求められます。その責任が持てないのであれば、安易に使用すべきではないでしょう。有償で完全なサポートが約束されたCMSを採用する事も、一つの選択肢です。
きちんとリスクを認識した上で正しく運用出来るのであれば、WordPressは素晴らしいシステムとしてウェブサイト運用の手助けとなってくれるでしょう。
また、他人に依頼してWordPressで制作してもらう場合、上記リスクを認識した上で責任を持って制作およびサポートをしてもらえるのか、必ず確認して下さい。後々トラブルになる可能性は十分にあります。