高見知英のかいはつにっし(β)

高見知英のアプリケーション開発日誌 のほか、地域活動などの活動報告ブログ。

地域コミュニティサイトとWordPress

さていちおう年末までブログ更新を続けます。26日目はWordPressについて。今思えばWordPress Advent Calendar 2015 - Adventarに書いてもよかったですね。

地域のコミュニティスペースのサイトなど、地域コミュニティの多くのサイトで、WordPressが使われています。ふらっとステーション・とつかのサイトもその例に漏れず、WordPressによって構築されています。

このWordPress、ちゃんとWordPressの善し悪しや、利用に当たって発生する諸々のタスクについて理解できている人が使うぶんにはかまわないのですが、そうでない人が使うのは、いろいろまずいな と思っています。

知識がない人がWordPressを使うことによる問題

地域コミュニティの中にも、PCの扱いが多少できたり、インターネットのシステム利用ができるという人も、若干ながら存在します。

地域コミュニティのサイトでは、こういう人が自力でWordPressをインストールし、利用している という場合が多いのではないかなと思います(業者などに頼むと、お金がかかりますし)。最近ではWordPressインストーラーが付属しているレンタルサーバーなどもあるため、各サイトのコントロールパネルの操作さえできればWordPressのインストール「自体」はそんなに難しくない*1

ただし、それはインストールの話。WordPressの「運用」となると、話が変わってくる。

システムの更新

まず一つは、システムの更新について。WordPressは複雑なシステムです。ときおりセキュリティ上の問題――いわゆる脆弱性が発見されることもあります。

そのため、WordPressの本体や、その関連モジュールは、不定期に修正・更新されます。最新版のモジュールであればセキュリティ上の問題に対処されているため、WordPressの利用者は、その更新を各自インストールする必要がある。

そのため本来であれば、定期的にWordPressの管理画面に入って、モジュールや本体の更新があったら適用してやらなければならないのですが、この辺地域コミュニティにいる人だけが運営していると、忙しさもあってこのような更新が行われず放置されてしまう なんてこともある*2(ふらっとステーション・とつかについては、自分も管理者になっていますので、自分が折を見てシステムの更新を行っていますが)。

管理画面

もう一つは、インターネット上に管理画面があること。WordPressはWEB上からサイトを更新可能にするため、WEB上に管理画面が存在します。この管理画面から管理を行うためには、管理者のID・パスワードが必要です。

問題は、この管理画面が、初期状態で暗号化されない(HTTPのページのまま)になっていること。そのためなにも知らずにこのままWordPressを使ってしまうと、パスワードが漏洩してしまう危険があります。
この管理画面を、暗号化された(HTTPSの)ページにするためのプラグインはあるにはあるのですが、そもそもHTTPやHTTPSのことについてあまり詳しくない人は、これらを気にせずそのまま使ってしまう。結果、パスワードが漏洩してしまう可能性があるからです。

また、管理画面を使う以上、利用者側にある程度のセキュリティ知識が必要 という点もあるでしょう。たとえば極端に短いパスワードを使ったり、パスワードが推測しやすいものだったりすると、それもセキュリティ上の危険につながります。

OSSは、大工道具

WordPressは、ソースコードが公開されているソフトウェア、オープンソースソフトウェア(以下OSS)の一つです。OSSは無保証である代わりに、自由に誰でも使うことができます。

このようなソフトウェアは、基本的に大工道具のようなものである、と思っています。だからこそ、どのような人でも使おうと思えば使えますが、使う人の側にも、ある程度の理解が必須であると考えます。

WordPressもそんなOSSの一つである以上は、使う側にもある程度、セキュリティやネットワークの知識、関心が必要になるのではないかな と。

日本中の地域コミュニティ(というか、セキュリティ知識のあまりない人たち)のサイトから、WordPressをなくしたい

だからこそ、わたしはこのように、セキュリティ上の問題にただしく対処できない人のサイトから、WordPressをなくしたい。

WordPressを使う人すべてに、セキュリティや、そのための対処方法に関する知識を持ってもらえれば、それがいいとは思いますが、刻々と変化していくこの業界、そんなことを地域の人に定期的に発信していくのは、かなり難しいと思いますし、コストもかかります。だからこそ、いっそ地域からWordPressをなくしてしまいたい。

もちろん、専門家がサポートするという手もあるが?

もちろん、WordPressについて専門知識を持った人が責任を持って運用する という方法もあるかもしれません。ただ、地域のコミュニティ活動が収益化されていない現状、専門家が継続的に関われる仕組みを提供するのは、難しいと思います。

だからたとえば、貧弱ではあるものの、セキュリティ上の危険が発生しようのないPico CMSや、その他のサイト作成ツールを勧めていき、サイトを立ち上げたい人が、各自の努力の範囲で対応できるようにした方が良いのではないか。と思っています。専門家が常駐しなければいけない という状況さえなくせば、初期投資で多少のお金がかかるくらいならなんとかできる という団体も少なくはないのではないか と思っています。

作る人にも、勉強が必要

費用を抑えつつ、サイトを作るならば、サイトを作る本人にも何らかのかたちでインターネットについて、勉強する必要がある。お金を払えない以上は、学習で穴埋めするしかない。
そうやって、それぞれの人が勉強しつつ、サイトを作るようにすれば、少しずつインターネットのことを理解する人も、増えていくんじゃないかな と。

*1:実際コミュニティスペースのサイトを見ると、レンタルサーバーのインストール機能で入れたまま(ドメインの設定もいじらず、そのままにしている)と思われる、wpディレクトリのパスがそのままになってることが多い

*2:ふらっとステーション・とつかの例になりますが、このような場所にある程度PCに明るい人は少ないため、結果的に一人にタスクが集中する=WordPressのメンテナンスまで手が届かない なんてことも