wpac2014head_day20

更新が遅くなってしまいましたが、残りもこれをいれてあと5回となりました。20日目です。

本日のお題

よく使われるロリポップで運用する際の注意点を教えて下さい。

ということで、ロリポップで運用するときのポイントをまとめてみようかと思います。

プラン選び

非常に安価なため人気なロリポップですが、ただ安いからといって一番安いプランにしてはいけません。

なぜって、月額100円のコロリポプランには WordPress が利用するデータベースである、 MySQL がついてないからです。

とはいえ一応 WordPress を MySQL なしでも動かす方法はあります。それは、SQLite Integration というプラグインを導入することです。

これによって、MySQLの代わりにSQLiteというデータベースにデータを保存できるようになりますので、コロリポプランのように MySQL がない場合でも一応運用はできます。

SQLite Integration(ja) | ユニマージュ

ただ、インストール方法がほかとちょっと違いますのでなれないうちは最低でもロリポプラン以上のプランを選択したほうが良いでしょう。

ロリポプランでも月額250円です。毎月ペットボトルのジュースを1本我慢するだけで差額が出ます。

WAFに注意

ロリポップは改ざん問題があってからセキュリティが強化されて、標準でWAF(Web Application Firewall)が導入されています。

が、これのせいで挙動が怪しくなる例も少なからずあります。

一番多いのは、なんか保存したりすると 403 ページになるパターンでしょうか。

殆どの場合 WAF のログを見てみると、 sqlinj-XX みたいなログが残ってると思います。

毎回パターンが固まってるならば、ファイアウォールの例外パターンを .htaccess に書くことで回避できますが、あまりにもいろんなパターンで発生してしまう場合は、WAFをオフにして運用することが求められる場合もあります。

その場合、セキュリティを1つ外すことになりますので、ちゃんと自分で他の対策を刷るようにしてください。

【WPAC2014Solo】セキュリティを考える | NeGiMeMo.net

自動設定される.htaccessに注意

上記とも関連してきますが、前から運用していたサイトに関しては、自動的にアクセス制限がかけられて、管理画面に入れなくなってるパターンがあります。

あとあら設置したものとか自動インストールされたものについては最近やってないのでわからないですが…。

なんにしても許可するIPを追加したり、別の方法でアクセス制限する(BASIC認証とか)などに切り替えるなどしておかないと、もし外出先から急にブログを更新したくなった時とかに管理画面に入れない…なんてことになったりするかも知れません。

WordPressインストール後にコンパネのアクセス制限は使わない

クライアントワークとかでは公開前にお客さんに見てもらう事になると思いますが、その際にメンテナンスモードを使うと、一度ログインさせる必要があるので、サイト全体に対してアクセス制限をかけてテスト運用をしたい場合とかもあるかもしれません。

ですがその際にロリポップのコントロールパネルにあるアクセス制限からまるっとWordPressのディレクトリに制限をかけようとすると、ロリポップが生成する .htaccess (と.htpasswd)でまるまる WordPress の .htaccess が上書きされて、パーマリンク構造とかが飛びます

なので、手動で設定するか、予め WordPress が吐き出した .htaccess の中身をどこかにコピーしておいて、コンパネからアクセス制限設定後、ロリポップが生成した .htaccess にその中身を追記するなどの対策が必要になります。

公開前で、しかも .htaccess に書かれてるのがパーマリンク関連のみだったらば、設定後にログインして、パーマリンクの空更新でも大丈夫です。

とりあえずはこんなところでしょうかね?

 

これはWordPressひとりアドベント・カレンダー2015の記事です。
WPAC2015Soloについてはこちらをご覧ください。  

コメントする