WordPressのセキュリティが不安なのは「ページを動的に生成するから」
既に何度か指摘していますが、Wordpressはセキュリティに様々な問題を抱えています。特に根深い問題が「動的にページを生成する」ことです。具体的には
- WordPressはPHPで動的にページを生成する(ユーザーがアクセスするたびにプログラムを動かしている)
- 「動的にページを生成する」ということは、プログラムにセキュリティの問題があると常に攻撃されるリスクがあることを意味する
- WordPressは本体が静的にページを出力する機能を持たず、コンテンツ管理用サーバー(CMS)とコンテンツ配信サーバーを分ける機能も無い
- WordPressのロードマップを見る限り、動的なページ生成に伴うセキュリティ上の問題を解決する意思が開発者に無さげ
という感じで、特に改善の見込みが無いのがかなり絶望的な状況です。フロントエンジニア界隈でWordpressが『技術的負債』とまで言われる理由です。
「何でもプラグインで解決する」のがWordpress流
Wordpressは、オプション的な機能はすべてサードパーティーのプラグインに任せる文化です。このことがWordpressの多機能化に寄与し、トップシェアのCMSに成長する原動力となりました。
個人的には、セキュリティはシステムの根幹部分であるため、プラグインに任せるのはおかしいと思っています。しかしWordpressのプラグインが提供する多彩な機能を自力で実装するのは無理なので、Wordpressの静的サイト化も当面はプラグインで実現するのが現実的です。
本家が自力で対応しようとしていないので「ほかに現実的な方法が無い」ということです。
WordPressのページを静的サイトとして出力するプラグイン『Simply Static』
現在、Wordpressで無償利用できる静的サイトジェネレータープラグインは『Simply Static』です。
このプラグインにS3やGoogleドライブなどに静的サイトを出力する機能はありませんが、zipファイルでのダウンロードが可能です。
私は当サイトのコンテンツをGitHub Pagesに試験的に静的出力しています(手動)。
リンク切れの嵐……犯人は『URLエンコード』
……と、ここまではキレイな話ですが、現実はそう甘くありません。zipファイルをGitのワーキングディレクトリに展開して
$ git add .
$ git commit -m ‘simply-static-1-1626516830.zip’
$ git push
するとリンク切れの嵐が……。原因を調べたところ『日本語のURL』にあることが判明しました。具体的には
- WordPressはデフォルトで記事タイトルをURLのフォルダ名として使用する
- 日本語で記事タイトルを書くと、URLには当然日本語のフォルダ名が含まれる
- WordPressはURLの日本語をUTF-8で出力する
- ところが、Simply StaticプラグインはURLを『URLエンコード』で変換して出力する
- 結果、ページ内のリンクが「URLデコード状態」でリンク先のフォルダ名が「URLエンコード」状態なのでリンクが切れる
というカラクリになります。
以前の記事「WordPressサイトを静的に出力してGitHub Pagesを作る」ではこの問題に敢えて触れていませんでした。というのも、Wordpress側の設定を変えれば
- 記事タイトルをURLに含めない
- 投稿時に、都度URLを英数字で設定する(手動)
のいずれかの対応が可能だからです。
そもそも、URLに日本語を使うのは適切なのか?
URLに日本語を平気でぶち込んで来るCMSは、私が知る限りWordpressくらいです。ウェブに詳しい方なら、URLに日本語が含まれているだけで「濃厚なWordpress臭」を感じて敬遠するかも知れません。また文字コード的にも、UTF-8(Unicode)が支配的になる以前からシフトJISやEUCなどでウェブページを作られていた方も、文字化けで苦しんだ経験から「日本語のURL?ダメゼッタイ!」と思われていても無理はありません。
私はこれらの問題を理解した上で、敢えて日本語のURLをそのまま使うことにしました。URLがUTF-8を含むこと自体は「WHATWGでは、URLはUTF-8とされています」ので不正ではありませんし、事実Google ChromeなどのWebブラウザでは正しく表示されています。
そして何よりも
URLはまだWebブラウザで見える状況なのだから、日本語の方が日本人にはわかりやすい
からです。スマホアプリではURLが(たとえ存在していても)既に見えなくなっていますが、ウェブサイトとして運営している限りは日本語URLの方がユーザーに親切だと判断しました。
わがままを言うなら自分で変換するしかないじゃない
というわけで、前回は手動でURLデコードを行っていましたが、さすがに実運用としてはあり得ない手間なので、ものすごく面倒臭いのをこらえて思い切ってフォルダ名を一括変換するbashスクリプトを作成しました。
https://github.com/Masaru-KMT/WordpressURLdecoder
……言うてコードは数行ですがな(;´Д`)
#!/bin/bash
# WordPressURLdecoder
# WordPressプラグイン『Simply Static』が出力する
# URLエンコードされたフォルダ名を一括デコードするbashスクリプト
# Version: 2021-07-17
# WordPressのデータはプラグイン『Simply Static』でダウンロードします
# https://ja.wordpress.org/plugins/simply-static/
# 【注意】別途nkfのインストールが必要です
# sudo apt install nkf
# (Ubuntuの場合)
# [変数設定]スクリプトを格納・実行するディレクトリ
scrdir="/home/masaru/"
# [変数設定]『Simply Static』が出力するzipファイルの解凍先ディレクトリ
workdir="/home/masaru/temp/"
# ディレクトリ一覧の取得(dirlist.txtに格納)
dirlist="${scrdir}dirlist.txt"
find $workdir -type d > $dirlist
# ディレクトリ一覧を一行ずつ読み込みnkfでデコードしたファイル名に変更
cat ${dirlist} | while read line
do
newname=$(echo $line | nkf -w --url-input)
echo "${line} -> ${newname}"
mv $line $newname
done
ふだんPythonばっか書いたりJavaScriptに泣かされたりしていてシェルコマンドは1行しか書かないので長めのシェルスクリプトは書きたくないのですが……。機械学習でもないのにPythonをわざわざ書くのもおっくうだったので思い切って書いてみたら意外と簡単でした。
ふだんはこの手のやっつけスクリプトは恥ずかしいので表に出さないのですが、Wordpress界隈でニーズが多そうなのと手頃なフリーソフトが見当たらなかったので無保証で公開することにしました。何よりパソコンが壊れたときにスクリプトをサルベージ出来ないと困るのは自分なので……