ブログ

CMS設計で心がけていること

blog_image_WP

こんにちは、かみーゆです。

主にフロント周りを担当してます。
最近CMSでの制作ラッシュです。

実は、弊社広島オフィスではCMSを導入するにあたって制作の際に心がけていることがあります。
今回は巷(ちまた)で人気のWordPressを例にとってお話しします。

使いこなせなきゃ意味がない!

大切なのは「誰が更新」するか。
どんな高度な機能を入れてもお客様が使いこなせなければ意味がありません。
しっかりヒアリングしてお客様のできることに合わせてCMSを構築するようにしてます。

できるだけ簡単に更新できるように

お客様のできることがわかったら、お客様に合わせてできるだけ簡単に投稿できるように工夫します。
たとえば・・・・。

投稿の種類別に投稿できるようメニューを追加したり、ラベル名を変えることもあります。

こうすればお客様は迷わず投稿できますね!

menu

お客様にフィットするようカスタマイズする

記事をアップするのが精一杯というお客様の場合。
タイトルやメタディスクリプションなどのSEO的なものを、ある程度オートで出力するようにカスタムすることもあります。

逆にある程度使いこなせるお客様の場合。
サイトロゴやトップのスライダーなど、運用が始まった後でも変更したい個所がありますよね?
ご自身で変更できるようにカスタムすることもあります。

tantanmen

更新頻度、webの知識、環境、予算。。。
お客様の置かれた状況によりますが、できることとやりたいことは必ずしもイコールではありません
だからこそヒアリングした内容をもとにベストな形に近づけます。

無駄な機能は増やさない

何でもかんでもプラグインを入れるのはとても危険
それが原因で、かえって攻撃の対象となってしまいます。
また、多くのCMSはセキュリティ・機能向上のために新しいバージョンにアップデートしなければなりません。
だからプラグイン自体が新しいバージョンに対応しておらず結局使えなくなる、もしくは泣く泣くアップデートできなくなることも。。。。

とはいえ、プラグインはとっても便利なもの。
どうしても必要な時は、開発元、DL数、口コミなど考慮しつつ、吟味して導入します。

セキュリティに気を使う

WordPressは超がつくほどメジャーです。反面セキュリティで弱い箇所を狙われやすいのも然り。
世界でのWordPressのシェアはなんと約50%
※資料によってばらつきがあります。

そりゃブルートフォースアタックのカモにされるのも仕方ありませんよね 汗

Brute Forceとは?
「力ずくで、強引に」という意味で、文字どおり力ずくで暗号を解読して、パスワードを取得する攻撃手段のことを指す。

パスワードの取得のため、辞書ツールを使いあらゆる文字の組み合わせで総当たりを試み、暗号の解読のためには考えられるすべての暗号鍵をリストアップして暗号文の切れ端を復号できるか試みる。

非常に効率の悪い方法であるが、認証失敗回数制限によりIDが凍結されない限り、パスワードが取得されてしまう可能性がある。そのためにも定期的にパスワードを変更されることや、判明しやすい「平易な英単語」を含むものは使用しないことが推奨されているのである。数字だけなどというのはもってのほかで、あっという間に解読されてしまう。

引用:ブルートフォースアタック(セキュリティ用語事典)

なので、セキュリティー対策は必須です!

で、ポイントになる点は大きく2つ。

  • 運用でカバー
  • ログインのハードルを上げる

運用でカバー

まず、定期的にパスワードを変える、こまめにデータベースやアップロードしたメディアなどのバックアップを取る、などが地道ですが一番手堅い手法だと思います。
運用するにあたってお客様にしっかり理解して実行してもらいます。

ログインのハードルを上げる

ブルートフォースアタック防止のためにログイン自体をしにくくします。
以下のような方法でログインのハードルを上げることができます。

  • プラグインいらず!オーソドックスにBasic認証をかける
    やはりオーソドックスなのが一番です。
    Basic認証で2段階認証にします。
    (推奨しません&大声では言えませんが、ブラウザにID・パスワードを記憶させておくこともできなくはないです。)
  • ログイン画面のパスを変える
    メジャーな分デフォルトのログインURL(パス)はとっくに周知されてます。
    なのでログイン画面のパスを変えるのも地味に有効的です。
  • IP制限をかける
    管理画面に更新する人のIPだけにアクセスできるよう限定します。
    (スマホで更新するなど、お客様の環境によっては不向きなこともあります。)
  • 認証失敗回数制限をかける
    ブルートフォースアタックは何度もログインにチャレンジしてパスワードを力づくで探し当てる、というのが手法。なので、何度か認証に失敗したらIPをブロックします。
    良いプラグインもあるみたいなので、よ〜く調べて使ってみるといいと思います。

他にもやり方は色々ありますが、代表的なところでこんな感じですかね。

まとめ

今回はWordPressを例にとってみました。

既存のCMSなので限界がありますが、制作していてお客様にとって少しでも運用しやすいものを提供することが大切だと思っています。
制作者の一意見ですが「WordPressでサイトを作りたい!」と思った時は是非参考にして下さいね!

以上、現場のかみーゆでした^^

■この記事を書いた人 かみーゆ(フロントエンドエンジニア)

CMS concrete5の認定エバンジェリスト。コーディングからプログラミングまでフロント周りを中心にお仕事してます。広島支社でフロントエンドからサーバエンドまで幅広く触れるリベロなエンジニアを目指してます。お得意のconcrete5や技術的なTipsの記事を主にUPしてます。好きなものは肉とビール。

関連記事

  1. blog_twitter 良いホームページを制作するためのコツ
  2. Color scheme-page-12 WEBデザインの配色を無難にまとめるための鉄則3つ
  3. 吹き出しの作り方タイトル画像 いろいろな種類の吹き出しフラッシュ・ベタフラ・叫びや雲形など 【初心者OK】IllustratorCCで漫画風吹き出しの作り方…
  4. color-12 イラレのイラストに自然な陰影を与える配色のコツ
  5. color-code_play02 RGBを脳内調合して札を取れ!「COLOR CODEかるた」で遊…
  6. blog image-illustrator-pentool ペンツールでベジェ曲線を描くコツはアンカーポイントの打ち方にあり…
  7. blog_panda_penguin ユーモアのあるサムネイル画像をデザインするための発想法
  8. blog_cms-01 そのCMS、本当に作りたいサイトの目的とあっとる?

最近の記事

  1. IMG_1781
  2. Hirofuro-logo-8
  3. eyecatch7-1
  4. SEO-eyecatch
  5. wtm100
PAGE TOP