.
WEB/DB 関連 => CMSサイト制作環境の構築 > 4.サーバーに CMS(WordPress)を設置する手順 4/4
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

サーバーに CMS(WordPress)を設置する手順 4/4

前のページの続きです。

STEP6:CMS管理者設定

前のページで説明したデータベースアカウントが記載された設定ファイルの準備が出来たら、再度、CMS を設置したディレクトリへブラウザでアクセスします。WordPress の場合は、以下のような画面が表示されます。

CMSの動作に必要なデータベースのアカウント情報を設定した次に求められるのは、CMS にログインするためのアカウント情報や、ローケル情報(言語、時刻、通貨単位等)などのシステムに関する設定やサイトの基本情報等です。

これらはCMSによって違いはありますが、必ず求められる項目が CMSのアカウント情報です。ここで登録したユーザーIDとパスワードを使って CMS(システム)にログインし、サイトコンテンツの作成を行う事になります。

ここで登録するユーザー名とパスワードは、CMS のアカウントであり、データベース内に保存されます。先程の wp-config.php に記載したデータベースのアカウントとは性質が全く異なります。

先に説明したようにデータベースのアカウント情報がネットワークを流れるのは、最初にCMSを設置するときだけですが、このCMSのアカウントは今後のサイト更新作業の度にネットワークを流れる事になります。

このアカウントが第三者に渡れば、それはサイトの改竄を意味しますので、通信経路が暗号化されている必要があることは言うまでもありません。本稿は LAN内の開発環境でサイト運用が目的ではありませんので、これらの心配は必要ありませんが、実際に納品する段階でサイト制作者はこの様な認識が必要になります。

"WordPress をインストール"ボタンをクリックすると、データベース内にWordPress が動作するのに必要なテーブルが自動的に作成されます。しばらく時間が掛かります。

完了すると左の画面が表示されます。WordPress の場合は全くと言っていいほど、セキュリティに関するアナウンスがセットアップの段階で触れられていません。

これまでのステップで .htaccess ファイルで IPアドレスによる接続制限を行っていますので、現段階では、このシステムにログイン出来るのは、自分だけか、あるいは自分が所属するネットーワークだけです。

取り敢えずログインして問題なく動作してるかここで確認しておきます。

現在、接続しているURLも https:// ではじまる SSL で暗号化された環境と仮定しています

STEP7:運用を開始する前の確認事項

敢えて少し古い WordPress をインストールしました。左はログインしてから、メニューの更新をクリックして表示される画面です。

マークが表示されており、何やら、警告が発せられていることを直感的に理解させられます。

通常、セットアップするときは最新版をダウンロードしてインストールすると思われるので、この様な場面にいきなり出くわすことは少ないとおもいますが、実際にサイトを運用し始めると、頻繁にこの様なセキュリティに関するアップデートを促すメッセージが表示されるようになります。

PHP がそれぞれのユーザー権限で動作している場合

PHP が個々のユーザー権限で動作している場合、つまりFTPアカウントと同じユーザー権限で動作している場合と、そうでない場合では、WordPress ではアップデートにおける挙動が大きく異なります。

FTPアカウントと同じ権限でPHPが動作している場合

つまり、このCMSを実行しているユーザーと、CMS 本体を FTP でアップロードして設置したユーザーが同じ場合、CMS は自分で自分のファイルを更新することが出来るので、更新は自動的に行われます。

FTPアカウントと異なるユーザーでPHPが動作している場合

これに対し、FTPアカウントのユーザーと異なるユーザー権限でPHPが動作している場合は、CMS は自分で地震を更新したくても、それは FTPでアップロードしたユーザーがオーナーのファイルやディレクトリであるため、ファイルを置き換えると言った作業が出来ません。

最低限、その他のユーザーに対しては、最小限の権限しか与えられていないからです。この場合、WordPress は、アップデートを行うために FTP のアカウント情報の入力をユーザーに求めます。

つまり、CMS 自身が FTPクライアントとなってファイルの更新作業を行う訳ですが、WebサーバーがSSLよる接続に対応していないと、アップデートを行う度にFTPのアカウント情報が盗聴のリスクに晒されることを意味します。

現在、ホスティングサービスにおいて、FTP暗号化は現在、一般的になっていますので、これらのセキュリティーリスクについての認識が必要です。

後々の保守管理作業について

以上、LAN内の制作スタッフが CMS を利用したサイト制作環境の構築を見てきましたが、納品後の CMS によるサイト運用までの対応を考えると、サイト制作者にはデータベースの保守管理についての認識も求められます。

これは従来の HTML を書いてサーバーにアップロードするサイト運用では無かった作業です。ここでは WordPress を例に見てきましたが、実際にどのような保守管理機能を持っているかは、CMS によって異なりますが、

ファイルやディレクトリのオーナーと、PHP や CGI 等のプログラムを実行しているユーザーが一致している方が、保守管理のし易さを含めて、セキュリティの面では優れています。

WordPress の人気の理由

WordPress に関しては、システム自体のアップデートに関するインターフェイスが秀逸で、サイト制作者から見ても、CMS によるサイトの運用を考えている方にも、お奨めしやすいという理由もあると思います。

また、サーバーが条件を満たす必要がありますが、データベースを定期的に外部のドライブにバックアップするといったプラグインなど、保守管理のためのツールも他のCMSに比べて充実しています。

この様な理由から WordPress を推奨するWeb制作会社も多いと考えられ、WordPress が広く普及している要因の一つではないかと思います。

引き続き、WordPress で作成したサイトを納品する、つまり、データベースをバックアップしてそのまま、別のサーバーへ引っ越すケースを例に、CMS のデータベースのバックアップ、復元手順について見ていこうと思います。

取り敢えず、今回はここまで。

CMSサイト制作環境の構築

bottom_mark
ページ最上部
ページ最上部 前のページ