WordPressのバージョンアップを自動化して、最新アップデートを正しく適用する方法:とにかく速いWordPress(17)(2/3 ページ)
エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回は、先日、WordPressの過去バージョンに存在した脆弱性によって多くのページ改ざん被害が発覚した事案を踏まえ、WordPressのバージョンアップを自動化して、最新のアップデートを「正しく」適用する方法を解説します。
WordPressアップデートの方法
手動でアップデートする
手動アップデートは、「WordPress管理画面の更新メニュー」から行う方法が最も一般的です。WordPressコア、プラグイン、テーマ、言語ファイルのうち、更新したい項目を選択して、「更新ボタン」を押すだけでアップデートできます(図3)。
この他に、「シェルにログインして、最新版のファイルをwgetコマンドなどで取得する」や、「デスクトップにダウンロードした最新版ファイルをSCP(FTP)ソフトウェアなどで直接適切な位置に配置してアップデートする」などの手法もありますが、あえてという場合以外はお勧めしていません。
なお、KUSANAGIで運用している環境の場合は、更新ボタンを押すと、接続情報を聞かれる場合があります。接続情報を「wp-config.php」に記述していない場合などが該当します。この場合には、次の表のようにホスト名、FTPユーザー名、FTPパスワードを入力してアップデートします。
| 項目 | 内容 |
|---|---|
| ホスト名 | localhost |
| FTPユーザー名 | kusanagi |
| FTPパスワード | (kusanagiユーザーのパスワード) |
WordPress管理画面からのアップデートは、あるプラグインだけをアップデートするといったアップデートの対象も細かく指定できます。しかし手動作業なだけに、アップデートを忘れがちになること、そしてアップデートの際にバックアップが自動的に取得されるわけではないことに注意が必要です。
「自動アップデート」の設定方法
WordPressは、標準で「自動アップデート」の機能も備えています。初期状態の自動アップデートポリシーと選択可能ポリシーは、以下のようになっています。
| 項目 | 初期状態のポリシー | 選択可能なポリシー |
|---|---|---|
| WordPressコア | 2:マイナーアップデートのみ有効 | 1:メジャーアップデートも有効 2:マイナーアップデートのみ有効 3:無効 |
| プラグイン | 2:無効 | 1:有効 2:無効 |
| テーマ | 2:無効 | 1:有効 2:無効 |
| 言語ファイル | 1:有効 | 1:有効 2:無効 |
自動アップデートのチェック頻度は、WordPressで設定したローカル時間(日本の場合は、日本時間・JST)の7時と19時の2回です。
自動アップデートは、「WordPressが自分自身でアップデートできるようになっている」必要があります。具体的には、「Webサーバの実行ユーザーが、アップデートの対象となるファイルを書き換えられる設定」になっていることが条件となります。
なおKUSANAGIでは、セキュリティ強化の観点から、Webサーバが極力ファイルを書き換えられないファイルオーナー(およびグループ)とパーミッション設定にしています。そのため、自動アップデートを有効にするには、「wp-config.php」にFTPの接続情報を記述して、FTPの自己接続方式でkusanagiユーザーとしてアップデートをするように設定します。
具体的には、「wp-config.php」に以下の内容を追記します(追記場所は、末尾の「/* 編集が必要なのはここまでです ! WordPress でブログをお楽しみください。 */」の上辺りでよいでしょう)。「FTP_PASS」には、kusanagiユーザーのパスワードを記述します。
define('FTP_HOST', 'Localhost');
define('FTP_USER', 'kusanagi');
define('FTP_PASS', '********');
define('FS_METHOD', 'ftpsockets')
ただし、同じくセキュリティ強化の観点から、wp-config.phpへ上記を記述する場合には、ドキュメントルートより1つ上の階層へwp-config.phpを移動することを強く推奨します。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
WordPress脆弱性発覚、その後の状況 4.7.2リリース時に脆弱性が公開されなかった理由
2017年2月に発覚したWordPressの脆弱性により、既に約10万件ものサイトで改ざん被害が発生しているという。セキュリティ企業 ESETが、公式ブログで背景と現状、対処方法を解説した。
容易にWebサービスを高速化できるNginxを使いこなすための秘訣とは
高速で軽量なOSSのWebサーバとして注目されている「Nginx」。使いこなすための課題や有効なアーキテクチャ構成などをサイボウズでの導入事例と共に明かす。
高速・軽量・高機能……Nginxの基礎知識
処理能力の高さなどを理由に、近年、大規模サイトを中心に急速にシェアを拡大しているWebサーバー「Nginx」。この連載では、その特徴と魅力を分かりやすく紹介します。
WordPress自体のチューニングが必要な理由と高速化の基本的な考え方
企業のCMSサイトやオウンドメディアなどエンタープライズ用途での利用が増加しているWordPressの高速化について解説する連載。初回は、WordPressの高速化が求められる背景や、WordPress高速化の基本的な考え方であるページのロード時間とその構成要素、1秒当たりの同時アクセス数について解説します。