皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はメジャーバージョンアップ版の『WordPress 5.5 “エクスタイン”』がリリースされていますので、それについてお伝えします。

WordPress 5.5 “エクスタイン”について

今回リリースされた『WordPress 5.5 “エクスタイン”』では、スピード、SEO、セキュリティの3つを中心に改善・向上が行われています。

＜スピード＞

画像の遅延読み込みのおかげで、投稿と固定ページがより高速に感じられます。

画像はストーリーに大きなインパクトを与えますが、サイトを遅く見せることもあります。

WordPress 5.5では、画像がスクロールして表示されるまで画像の読み込みを待機させます。技術用語では「遅延読み込み (lazy loading)」といいます。

モバイルでは、遅延読み込み機能がブラウザーが他の端末向けに用意されたファイルを読み込まないようにすることもできます。これによって読者のデータ費用を節約し、バッテリーの寿命を延ばすことができます。

＜SEO＞

新しいサイトマップが登場しました。

WordPress サイトは検索エンジンとうまく連携します。

WordPress 5.5ではデフォルトで XML サイトマップが含まれるようになり、サイトが公開されたらすぐに検索エンジンが最も重要なページを発見できるようになります。

これで、より多くの人がより早くあなたのサイトを見つけられます。そして、訪問者のエンゲージメント向上、維持、購読者や顧客へのコンバージョンなど、設定した定義に合った成功に向かうための時間をもっと確保できます。

＜セキュリティ＞

プラグインとテーマの自動更新

プラグインやテーマを自動的に更新するか、もしくはしないかを、WordPress の管理画面から設定できます。これで、サイトが常に最新のコードを実行していないというようなことはなくなります。

また、いつも見慣れた画面上で、インストールしたプラグインやテーマごとに自動更新のオンとオフを切り替えることもできます。

ZIP ファイルをアップロードして更新

プラグインやテーマを手動で更新したい方にとっても、作業がより簡単になりました。ZIP ファイルをアップロードするだけです。

＜ブロックエディターのハイライト＞

ブロックパターン

新しいブロックパターンを使えば、テキストとメディアを組み合わせて、ストーリーに合った複雑で美しいレイアウトを簡単かつ楽しく作ることができます。

必要なブロックを見つけるのがこれまでになく簡単になりました。新しいブロックディレクトリはブロックエディターに直接組み込まれているため、エディターを離れることなく、新しいブロックタイプをサイトにインストールできます。

新しいブロックライブラリ

簡単に必要なブロックを見つけることができるようになりました。新しいブロックディレクトリはブロックエディターに組み込まれているので、エディターから離れることなく新しいブロックタイプをサイトにインストールすることができます。

インライン画像編集

画像ブロックから直接、写真を切り抜き、回転、ズームできます。画像に多くの時間を費やしていた方は、これでかなり時間を節約できます。

＜アクセシビリティ＞

すべてのリリースでパブリッシングエクスペリエンスのアクセシビリティを改良してきましたが WordPress 5.5も例外ではありません。

メディア画面とモーダルダイアログのリンクをボタンでコピーできるようになりました。テキスト行をハイライトする必要はありません。

また、キーボードでメタボックスを動かしたり、画像エディターで指示を読み上げられるので、支援デバイスを使ってWordPressで画像を編集することもできます。

以上の内容となります。

（開発者向け情報は割愛しました。)

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はメジャーバージョンアップ版の『WordPress 5.4 “アダレイ”』がリリースされましたので、それについてお伝えします。

WordPress 5.4 “アダレイ”について

今回リリースされた『WordPress 5.4 “アダレイ”』では、ブロックエディターの改善、体感スピードの向上がメインになっているようです。

＜新しいブロックとブロックの改善＞

・2つの新ブロック「ソーシャルアイコン」と「(複数追加可能な) ボタン」を使って、早く、簡単に、インタラクティブな機能を追加できます。

・色の新しい使い方。ボタンブロックとカバーブロックのグラデーション、リッチテキストブロックで初の色設定へのツールバーアクセス、グループおよびカラムブロックでの色設定。

・分かりづらい操作が減りました。バージョン5.4では、マルチメディアの配置や置換のプロセス全体を各ブロックで効率化。ほぼすべてのブロックで同じように動作します。

・「メディア」と「テキスト」ブロック内の画像を何か他のもの (例えばパンフレットの画像) にリンクして、そのパンフレットをドキュメントとしてダウンロードできたらいいのに、と思ったことはありませんか？ これができるようになりました。

＜クリーンなUIと明快なナビゲーション＞

・ブロックパンくずリストによる明快なブロックナビゲーション。そして一度いた場所へ簡単に戻れます。

・キーボード操作が必要な場合のタブ移動とフォーカスを改善。加えて、ほぼすべてのブロックでのタブキーを使ったサイドバーへの移動。

・エディターの読み込みが14％、入力にかかる時間が51％速くなりました！

・「ヒント」はなくなりました。代わりに、必要に応じて「ウェルカムガイド」を表示できます。必要な場合のみに、何度でもです。

・ブロックの「編集」モードにいるのか「移動」モードにいるのかが一瞬でわかります。視覚的に難しい場合も、スクリーンリーダーがモードを知らせます。

ブロックエディターの最新のツールや機能を使用したければ Gutenberg プラグインをインストールしてください。まだ誰も使っていない新しくエキサイティングな機能を試すことができます。

＜プライバシー＞

5.4 は世界中のさまざまなプライバシー問題の解決を支援します。ユーザーや関係者がコンプライアンス遵守を求めてきたり、チームでのユーザーデータの取り扱いに悩む場合も、より簡単に正しい答えを導きます。

・個人データのエクスポートに、ユーザーセッション情報と、コミュニティイベントウィジェットからのユーザーの位置データが含まれるようになりました。また、目次も追加しました。

・プライバシーツールを使用してエクスポートおよび消去のリクエストを処理する際の進捗を確認してください。

・さらに、プライバシーツール全体に細かな拡張を加えて見た感じをかなりスッキリさせました。

＜開発者向け＞

（メニュー項目へのカスタムフィールド追加をネイティブサポート）

新しい2つのアクションにより、メニュー項目にカスタムフィールドを追加できます—プラグインもカスタムウォーカーを書く必要もありません。

メニュー管理画面では、メニューエディターのナビゲーションメニュー項目移動ボタンの直前で wp_nav_menu_item_custom_fields が発生します。

カスタマイザー内では、メニュー項目フォームフィールドテンプレートの最後で wp_nav_menu_item_custom_fields_customize_template が起動します。

コードを確認し、この新しいアクションで置換できるカスタムコードを見つけてください。重複が嫌なら WordPress のバージョンチェックを追加してください。

（よりシンプルなスタイル、新しい API と埋め込み）

・ブロックのスタイリングが徹底的に簡単になりました。マイナス値のマージンやデフォルトのパディングはなくなりました。必要に応じて、ブロックに自由にスタイルを当てられます。さらにリファクタリングにより、4段階の冗長なラッパー div を取り除きました。

・プラグインを作成すると、カテゴリーの名前空間ごとにブロックのコレクションを登録できるようになりました。これにより、ブランドの認知度を高めることができます。

・ブロックバリエーションとグラデーションの2つの新しい API を使用して、ユーザーがさらに多くのことを行えるようにしましょう。

・埋め込みでは、ブロックエディターが TikTok をサポートするようになり、CollegeHumor はなくなりました。

以上の内容となります。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた件に関しては『経済産業省』からも注意喚起が出ておりますので、今日はそれについてお伝えします。

EC-CUBE2系でクレカ情報流出被害増加

『EC-CUBE』の中でも『EC-CUBE2系』において特に発ししている事象として、セキュリティ対策などが十分に行われていないECサイトにおいて改ざんがされ、攻撃を受ける可能性があるとされています。

・正しいインストール環境設定

・EC-CUBEの既知の脆弱性修正対策

・利用しているサーバーのセキュリティ対策

・ECサイトの管理画面のセキュリティ対策

・同じ環境に設置されている他のCMSのセキュリティ対策

これらが十分に行われているかが重要であるとしています。

具体的な確認と対策方法に関しては、

・/data ディレクトリや /install などのディレクトリが運用環境で公開されてしまっていないかを確認し、公開されてしまっている場合には /install の削除、 /data ディレクトリへのアクセス制限を行う。

・過去にEC-CUBEより発表された脆弱性が修正されていない場合は修正を行う。

・管理画面のURLが /admin/ など推測されやすいURLになっている場合、それを推測されにくいものに修正する。

・IP制限やBasic認証をかけるなどし、管理画面へのアクセス制限行う。

・利用しているサーバー、CMSなどのセキュリティが担保されているかや、そのサーバーのOSやミドルウェアの脆弱性対応がされているかを確認する。

・WordPressなどのCMSなどにおいてデータベース接続を行うアプリケーションをインストールしている場合、アプリケーションのプラグインの脆弱性対応がされているかを確認する。

これらの確認が必要になってきます。

また、自社内での確認、対策などが困難な場合はインテグレートパートナーに相談するなどして対応するよう呼び掛けています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はメジャーバージョンアップ版の『WordPress 5.3 “カーク”』がリリースされましたので、それについてお伝えします。

WordPress 5.3 “カーク”について

今回リリースされた『WordPress 5.3 “カーク”』では、ブロックエディターの拡張、改良によるデザイン設計を中心に改良が加えられているようです。

＜ブロックエディターの改善＞

この機能強化に焦点を当てた更新プログラムは、スマートフォンやその他の高品質カメラから撮影された最適化されていない高解像度の写真をアップロードするための改善された大画像サポートを含む、150以上の新機能と使いやすさの改善をもたらします。より大きなデフォルトの画像サイズと組み合わせると、写真は常に最高に見えます。

アクセシビリティの改善には、管理インターフェイスでのブロックエディタースタイルの統合が含まれます。これらの改善されたスタイルは、多くのアクセシビリティの問題を修正します：フォームフィールドとボタンの色のコントラスト、エディターと管理インターフェース間の一貫性、新しいスナックバーの通知、デフォルトのWordPressカラースキームへの標準化、ブロックとのやり取りを迅速かつ自然に感じるMotionの導入。

キーボードを使用してダッシュボードをナビゲートするユーザー向けに、ブロックエディターにナビゲーションモードが追加されました。これにより、ブロックコントロールのすべての部分をタブで移動することなく、ブロックからブロックにジャンプできます。

＜拡張された設計の柔軟性＞

WordPress 5.3は、すばらしいデザインを作成するためのさらに堅牢なツールを追加します。

・新しいグループブロックを使用すると、ページを簡単にカラフルなセクションに分割できます。

・Columnsブロックは、固定列幅をサポートするようになりました。

・新しい定義済みレイアウトにより、コンテンツを高度なデザインに簡単に配置できます。

・見出しブロックは、テキストと背景色のコントロールを提供するようになりました。

・追加のスタイルオプションを使用すると、この機能をサポートするブロックに好みのスタイルを設定できます。

＜皆のための改善＞

（自動画像回転）
埋め込まれた方向データに従って、アップロード時に画像が正しく回転します。この機能は9年前に最初に提案され、多くの献身的な貢献者の忍耐により実現されました。

（サイトヘルスチェックの改善）
5.3で導入された改善により、問題の特定がさらに容易になりました。拡張された推奨事項では、サイトのトラブルシューティングが必要な可能性のある領域が[ヘルスチェック]画面から強調表示されます。

（管理者のメール確認）
管理者としてログインすると、管理者のメールアドレスが最新であることを定期的に確認するように求められます。これにより、メールアドレスを変更した場合にサイトからロックアウトされる可能性が低くなります。

＜開発者向け＞

（日付/時刻コンポーネントの修正）

開発者は、より信頼性の高い方法で日付とタイムゾーンを操作できるようになりました。日付と時刻の機能は、統一されたタイムゾーンの取得とPHPの相互運用性のための多くの新しいAPI関数と、多くのバグ修正を受け取りました。

（PHP 7.4の互換性）
WordPress 5.3は、PHP 7.4を完全にサポートすることを目指しています。このリリースには、非推奨の機能を削除して互換性を確保するための複数の変更が含まれています。 WordPressは、すべてのユーザーに最新かつ最高のバージョンのPHPを実行することを引き続き奨励しています。

以上の内容となります。

ご参考までに。

今回のリリースは6件のセキュリティ問題を修正した『セキュリティリリース』となります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、『WordPress』の更新版『WordPress 5.2.4』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.2.4セキュリティアップデート

さて、今回のリリースは『WordPress 5.2.3以前のバージョン』で影響を受けるとされる『セキュリティリリース』となります。

『すぐにサイトを更新することを強くお勧めします』といったコメントは特別ありませんでしたがアップデートすることが無難でしょう。

以下、アップデートの内容です。

・格納型XSS(クロスサイトスクリプティング)がカスタマイザー経由で追加される可能性の問題が発見された件の修正

・認証されていない投稿を表示する方法が見つかった件の修正

・JavaScriptをスタイルタグに挿入する格納型XSSの作成方法が発見された件の修正

・Vary: Origin ヘッダーを介して JSON GETリクエストのキャッシュをポイズニングする方法が見つかった件の修正

・URLの検証方法でサーバーサイドリクエストフォージェリが発見された件の修正

・管理画面のリファラーバリデーションに関連する問題を発見された件の修正

以上のようになっています。

いつもの通り、早めの段階で『WordPress 5.2.4』へアップデートされることがお勧めです。

では、PHP7.2系以前のバージョンと比較してパフォーマンスなどはどう改善されたのでしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

過去に、『PHPを使う際のレンタルサーバ』、『PHP7.1でパフォーマンス向上』、『PHP7.2系のパフォーマンス他』という記事にて、PHPのパフォーマンスの改善をご紹介してきました。

では、現在の最新系であるPHP7.3系はどれほどの改善がなされたのでしょうか？

PHP7.3系のパフォーマンス改善など

さて、PHP7.3系（現在の最新バージョンは7.3.3）はPHP7.2系（現在の最新バージョンは7.2.16）と比べてどれくらいパフォーマンス改善がなされたのか？

前回、PHP7.2系がPHP7.1系と比べて『約10%程度の改善』であったということを書きましたが、今回も『約10%程度の改善』といった感じのようです。

私はベンチマークテストを行ってはいませんが、他の方のテストによるとPHP7.2系よりPHP7.3系は『約10%程度高速』に動作したようです。

私が試したのはパフォーマンスのスコアテストですが、確かにスコアはアップし、体感的にもごくわずかに高速になったように感じられます。

パフォーマンス以外では、WordPress5.1.1（現在の最新バージョン）においてデバッグモードでの動作テスト上、PHP7.2系で出ていた非推奨の警告に変化は見られませんでした。

その他、PHP7.3系にて非推奨となった機能は、

・Case-Insensitive Constants

・Namespaced assert()

・Searching Strings for non-string Needle

・Strip-Tags Streaming

・Data Filtering

・Image Processing and GD

・Internationalization Functions

・Multibyte String

・ODBC and DB2 Functions (PDO_ODBC)

というように掲載されています。

結論として、パフォーマンスに関しては PHP7.3.x ≧ PHP7.2.x で、WordPressの最新推奨環境も PHP7.3 以上となっていることもあり、『PHP7.3系』がお勧めです。

それは、コメント投稿へのスパム（迷惑）行為です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いたコメント投稿に対するスパム行為、困ったもので終わることはありません。

また、そのコメントスパムの多くは海外からのものです。

では、このようなコメントスパムはどのように対処したら良いのでしょうか？

WordPressのコメントスパム対策

まず、対策方法の一つとして海外からのアクセスを制限してしまうという方法がありますが、これはあまりお勧めではありません。

スパム行為を行ってくる人であればVPNソフトを利用するなど、制限をすり抜けてくるような手法は簡単に行えるでしょうから制限をかけたことにならない可能性があります。

では、ここからお勧めなものをご紹介していきます。

※　前提として、スパムフィルターである『Akismet Anti-Spam』は海外に限らず有効的ですので、予め有効にしておくことがお勧めです。

では、その１です。

＜SiteGuard WP Pluginを使う＞

WordPressのプラグインとして、日本のJP-Secure（株式会社ジェイピー・セキュア）が提供しているWordPress向けのプラグインで、ログインページやコメント投稿に画像認証を追加する機能を搭載したものがあります。

画像認証には、『ひらがな』と『英数字』が選択できますので、『ひらがな』で設定しておけばそれなりの効果を発揮するはずです。

それ以外にも、管理ページへのアクセス制限、ログインページの変更、ログインのロック、ログインのアラート、XMLRPCの悪用防御など、複数の機能が搭載されていますので他の使い道もあります。

参考：SiteGuard WP Plugin紹介ページはこちら

次に、その２です。

＜Throws SPMA Awayを使う＞

これもWordPress向けのプラグインですが、前述のプラグインとは少々手法が異なります。

日本語を含むかどうかの日本語判定を行い、含まれていなければコメントそのものを無視（スルー）するため、ゴミ箱にすらコメントがプールされることがありません。

日本語以外のコメントは投稿を完全に無視したい場合に向いています。

それ以外にも、NGキーワード、リンク数、IPアドレスなどによる判定の設定も可能です。

参考：Throws SPAM Away

最後に、一つ注意事項があります。

『SiteGuard WP Plugin』と『Throws SPMA Away』の両方を使おうと思われた方、どちらか一つを選択された方が良いです。

双方のプラグインがぶつかる部分がありそうです。

具体的には、コメント欄で画像認証を入力せずに投稿してもエラーが表示されず、画面がスクロールします。

日本語でコメント投稿してもです。

コメント投稿時の処理そのものはWordPress本体のプログラムをどちらも使っていますので、そこでぶつかるはずです。

以上、海外からのコメントスパムに困っている方など、ご参考になれば幸いです。

これにより、PHP7.1系以前と比較してパフォーマンスなどはどう改善されたのでしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前、『PHPを使う際のレンタルサーバ』と、『PHP7.1でパフォーマンス向上』という記事にて、PHPのパフォーマンスの改善に関して触れたと思います。

では、現在の最新系であるPHP7.2系はどれほどの改善がなされたのでしょうか？

PHP7.2系のパフォーマンス改善など

少々前置きしますが、昨今、Googleが発表している通り、ウェブのパフォーマンス（表示スピード）は検索ランキングに影響します。

デスクトップに限らず、2018年7月からはモバイル検索のランキングにも影響します。

そして、ウェブサイトにおいて非常に多く使われているCMSのWordPressはPHPで作られており、それで動作します。

また、エンジニアであれば他の機能改善などに目を向けるでしょうが、そうでなければ気になるのはパフォーマンスくらいでしょう。

さて、PHP7.2系（現在の最新バージョンは7.2.4）はPHP7.1系（現在の最新バージョンは7.1.6）と比べてどれくらいパフォーマンス改善がなされたのか？

いくつかのインターネット記事を読むと、『約10%程度の改善』と書かれています。

これ、実際にいくつかの測定サイトで計測してみると、変化が見られた測定サイトでも極わずかで、体感的には『微妙に変わっただろうか？』というくらいに思えます。

ただし、WordPress4.9.5（現在の最新バージョン）でデバッグモードで動作確認をしてみると、PHP7.1系で出ていた非推奨の警告がPHP7.2系では大幅に減少します。

これは、現在のWordPressの推奨環境が『PHP version 7.2 or greater.（PHP7.2以上）』となっていることから、PHP7.1系までで非推奨となっていたものの書き方を改善したのでしょう。

そして現在のPHP7.2系においても推奨されなくなる機能はいくつかあります。

・クオートしない文字列

・png2wbmp()およびjpeg2wbmp() 関数（次のメジャーバージョンアップで削除予定）

・INTL_IDNA_VARIANT_2003 バリアント（次のメジャーバージョンアップで削除予定）

・__autoload() メソッド

・php.ini の track_errors および $php_errormsg 変数

・create_function() 関数

・php.ini の mbstring.func_overload

・(unset) キャスト

・第二引数を指定しないで parse_str() 関数を使う

・gmp_random() 関数

・each()関数

・assert()関数に文字列を渡す

・エラーハンドラの $errcontext 引数

・read_exif_data() 関数

というように掲載されています。

結論から言えば、パフォーマンスに関しては PHP7.2.x ≒ PHP7.1.x 、他の要素も含めて考えると、PHP7.2.x ≧ PHP7.1.x（PHP7.2系がお勧め） といった感じでしょうか。

マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどがある。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

数日前、あるアメリカの企業が公開した『Hacked Website Report 2017』によると、2017年に最もマルウェア感染したウェブサイトには、よく使われるあるCMS（Content Management System / コンテンツマネージメントシステム）が使われていました。

マルウェア感染が最も多かったCMSとは

既にこの時点で気付かれた方も多いでしょう。

WordPress、Drupal、Movable Type、Joomla!、Magento、XOOPSなど、さまざまなCMSが存在していますが、2017年に最もマルウェア感染が多かったのは、WordPressを使って構築されたウェブサイトです。

その割合は、実に83%にも及んでいます。

これに続き、Joomla!の13.1%、Magentoの1.6%となっています。

現在、世界的なCMSのシェアは、

１．WordPress：60%

２．Joomla!：6.4%

３．Drupal：4.6%

４．Magento：2.5%

などとなっていますが、日本におけるCMSのシェアは、WordPressが84.5%という圧倒的な人気の高さとなっています。

さて、この圧倒的な人気を誇るWordPress、使われているサイトが多い分マルウェアに感染する率も高いわけですが、他のCMSに比べてバージョンアップがしっかりしているWordPressへの攻撃が何故ここまで高いのでしょうか？

それは、脆弱性を抱えたままの状態になっているWordPressサイトが多いのでしょう。

WordPressはデフォルト（初期値）でマイナーアップデートは自動で行われる設定になっていますが、メジャーアップデートは自動では行われない設定になっています。

これを長期に放置した場合、脆弱性の塊りのようなサイトになってしまうことにもなります。

『うちは業者に任せてあるから問題ない！』と高を括っている事業者の方、それらすべてが保守契約の中に含まれていますか？

自分勝手に、『そんなものは保守に入っていて当り前！』と思ってはいけませんし、保守契約をしていないのであれば当然それは行われません。

これらを念頭に置き、今一度自社（自店）のウェブサイトがどのような状況になっているかをチェックしてみることをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、ウェブサイトなどへのサイバー攻撃による被害状況をお伝えします。

サイバー攻撃による被害の実態

ウェブサイトなどへのサイバー攻撃による被害の内訳として一番多いのは『情報漏えい』で、実に全体の70%を超える割合となっています。

これは、WordPressなどのCMS（コンテンツ・マネジメント・システム）の脆弱性やそこで使われるプラグインの脆弱性、Webアプリケーションの脆弱性を狙ったものなど、何らかの脆弱性を突かれたものです。

そして、被害状況として一番多い『情報漏えい』の中でも、業種的には『卸売り・小売り』、『情報通信サービスプロバイダ』が50%以上を占めており、個人情報を取り扱うことの多い業種にターゲットが設定されていることが多いようです。

他における被害の状況としては、

・Webの改ざん

・不正アクセス

・スパムメール送信

・不正ファイルの設置

・DDoS攻撃の踏み台

などがあります。

サイバー攻撃への対策

これらのサイバー攻撃への対策として、まずは情報に敏感になることです。

常に最新の情報を収集し、脆弱性があることがわかったら直ぐに対応を行うことが重要になってきます。

また、レンタルサーバにおいても、WAF（ウェブ・アプリケーション・ファイアウォール）などのオプション追加するなど、外部からの攻撃に備えた施策を施しておくことも重要と言えるでしょう。