20191204冲奥辞谤诲笔谤别蝉蝉の教科书出版记念イベント冲ハ?フォーマンスチューニンク?とセキュリティ冲小川
0 likes488 views
2019年12月04日に開催したWordPressの教科書出版記念イヘ?ントの小川の資料です。WordPressにおけるハ?フォーマンスチューニンク?とセキュリティを紹介しています。 『ビジネスサイトを作って学ぶ WordPressの教科書 Ver.5.x対応版』 https://amzn.to/2qcjkRO サンプルサイト ?https://wpbook-pacificmall.work/
![管理画面へのセキュリティ
Basic認証を設定しましょう
例)Nginxの場合
server {
#:略
location ~* /wp-login.php|/wp-admin/((?!(admin-ajax.php|images/)).)*$ {
satisfy any;
allow 127.0.0.1;
deny all;
auth_basic "basic authentication";
auth_basic_user_file "/home/kusanagi/.htpasswd";
location ~ [^/].php(/|$) {
fastcgi_split_path_info ^(.+?.php)(/.*)$;
if (!-f $document_root$fastcgi_script_name) {
return 404;
}
wp-login.phpやwp-admin/配下のurlに適用
admin-ajaxはcronジョブからのAjaxリクエストで使うので除
外](https://image.slidesharecdn.com/20191204wordpressogawa-191206161608/85/20191204_WordPress-_-_-30-320.jpg)
20191204冲奥辞谤诲笔谤别蝉蝉の教科书出版记念イベント冲ハ?フォーマンスチューニンク?とセキュリティ冲小川
- 2. Agenda ● 自己绍介 ● WordPressではじめるパフォーマンスチューニングのことはじめ ● WordPressの基本セキュリティ ● 常时厂厂尝化
- 3. 自己绍介
- 4. ● OSS,BCP事業 インフラ系 ● PHPで内製のCMS開発など 2010年 ? 2016年頃 ● プライム?ストラテジー株式会社 WordPressテーマ開発,クラウドインテグレーション 2017年 ? 2019年 現在 LaravelでのWebサービス開発など
- 6. なぜパフォーマンスチューニング ● ユーザーが快適にページを閲覧できるようにするため ○ 遅いサイトはユーザの忍耐を強いることになる ○ コンテンツを全く見ずにサイトを去ってしまう ● Webサイトが収益に繋がっている場合...とても重要。 ○ ロード時間を短くすれば、快適に閲覧できる。 UX(User Experience)の向上。 ○ サイトのコンテツをより多くの人が見てくれて、訪問者の増加、商品購入の増加など期待できる。
- 7. https://webmaster-ja.googleblog.com/2018/01/using-page-speed-in-mobile-search.html Find out how you stack up to new industry benchmarks for mobile page speed https://www.thinkwithgoogle.com/marketing-resources/data-measurement/mobile-page-speed-new-industry-benchmarks/ ページの読み込み速度 モバイル検索のランキング要素に使用 遅いサイトは 直帰率の増加に繋がってしまう! Googleのページより抜粋
- 8. Webページが表示されるまでの流れ ■キャッシュによる改善 Nginxとphp-fpm(FastCGI:FastCGI Manager) 機能 WordPressによるアプリケーション側での改善 ①HTTPリクエスト HTML解析 ページ表示 ⑤HTTPレスポンス ⑥サブリソースリクエスト (html内CSS, JS) ⑦サブリソースレスポンス (CSS, JS) ③SQLクエリ ④SQL結果 ②PHP実行 パフォーマンスチューニングの方法 html生成
- 10. 部分キャッシュ 適しているもの? ● API(Application Programming Interface)を呼び出して生成する情報(サイドバー) 動作が重いプラグインや、記事取得で毎回実行している重いSQLクエリなど APIの1日の上限数があり毎回取得することの回避策として ● ヘッダー部、コンテンツの最上位階層ページへのリンク(グローバルナビゲーショ ン)? ● 会社概要など静的なページへのリンク(フッターナビゲーションなど)
- 12. 例) <ul> <?php $key = 'wpp_rank'; if ( false === ( $rank = get_transient( $key ) ) ) { if( function_exists( 'wpp_get_mostpopular' ) ) { $arg = array ( 'post_type' => 'post, page', :(略 'stats_views' => '1', 'post_html' => '<li>{thumb} {stats}</p></li>' ); ob_start(); wpp_get_mostpopular( $arg ); $rank = ob_get_clean(); set_transient( $key, $rank, 24 * HOUR_IN_SECONDS ); } } else echo $rank; } ?> </ul> ● 有効期限つきキャッシュ機能 ● key/value形式でwp_optionsに保存 部分キャッシュ Transient API
- 13. ● get_transient( $transient_key ) トランジェントを取得。引数に指定した キーを元に、wp_optionsから取得 ● set_transient ( $transinet_key, $value, $expiration ) トランジェントを登録。引数にキー、 登録する情報、有効期限 部分キャッシュ Transient API
- 15. MariaDB/MySQLスロークエリのログ でも確認可 slow_query_log = 1 slow_query_log_file = "/var/log/mysql/slow.log" long_query_time = 1.2 /etc/my.cnf.d/server.cnfより抜粋 /var/log/mysql/slow.log Rows_examined:検証データ(読み込んだレコード数) : 1000105 Row_sent:抽出したクエリの結果レコード : 10件 =>1件あたり約10万レコードチェック 1日一回、1週間に一回表示更新できれば良い ..ということであれば、キャッシュの保 持時間を設定して、キャッシュしてしまいましょう!
- 16. 全体キャッシュ:KUSANAGI bcache ● WordPressのキャッシュ機構:wp_site_cacheに保持 ○ WP_CACHE 有効化して使う(wp-config.phpのWP_CACHE true) ○ wp_site_cacheテーブルに一度アクセスしたページ情報を保持 ● advanced-cache.php(キャッシュ機能提供,生成してください) ◎Apacheの環境でも使えます 生成 キャッシュの保持時間設定
- 17. 全体キャッシュ:KUSANAGI bcache 有効化コマンド # kusanagi bcache onaaaaaaaaaaaaaaaaaaaaaaaa wp-config.phpでWP_CACHEがtrueとなり、WordPressのキャッシュ機能が有効化され ます。 define('WP_CACHE', true);
- 21. 全体キャッシュ:KUSANAGI fcache 有効化コマンド # kusanagi fcache onaaaaaaaaaaaaaaaaaaaaaaaa Nginxのconfに以下の設定が追加され、fcache機能が有効化されます。 ● /etc/nginx/conf.d/<profile_name>_http.conf ● /etc/nginx/conf.d/<profile_name>_ssl.conf do_not_cache 1 (キャッシュしない)=> 0(キャッシュする)にして有効化 set $do_not_cache 0;
- 22. 全体キャッシュ:KUSANAGI fcache キャッシュの保存先は以下で定義されてます。 ● /etc/nginx/nginx.conf fastcgi_cache_path /var/cache/nginx/wordpress levels=1:2 keys_zone=wpcache:30m max_size=512M inactive=600m; levels=1:2 ... levelsパラメーターはキャッシュの構造レベルを指定 keys_zone=wpcache:30m ... ゾーン名とキャッシュキー管理用のメモリサイズ。 メモリサイズとしては 30メガバイトを保持するように設定。 max_size=512M ... キャッシュの最大サイズになります。 このサイズを超えると利用されていないものから削除されていく。 inactive=600m ... この時間、アクセスが無いキャッシュを削除。
- 25. 注意! 独自で作った会員サイトのマイページなど ページキャッシュ、Nginxのキャッシュ除外設定しましょう 参考:リクエストURLに応じて、set $do_not_cache 1にすれば除外できます
- 28. WordPressのセキュリティ対策の基本 ● wp-config.phpの権限を440 ● wp-config.phpの所有者を適切に kusanagi環境の場合はWordPressをプロビジョニングしたりするので所有者 kusanagi.www。nginxやhttpdのWebサービスが所属するグループはwww。 ● wp-config.php をDocumentRoot配下におかない ● wp-contentを755に
- 29. 誤った権限の wp-config.phpやbackupファイルをDocumentRootに置くと... 例) # curl https://hogehoge.com/wp-config.php.bak DBへの接続情報が観れてしまうリスクがあるので注意。基本作業はファイルをそのまま 更新
- 30. 管理画面へのセキュリティ Basic認証を設定しましょう 例)Nginxの場合 server { #:略 location ~* /wp-login.php|/wp-admin/((?!(admin-ajax.php|images/)).)*$ { satisfy any; allow 127.0.0.1; deny all; auth_basic "basic authentication"; auth_basic_user_file "/home/kusanagi/.htpasswd"; location ~ [^/].php(/|$) { fastcgi_split_path_info ^(.+?.php)(/.*)$; if (!-f $document_root$fastcgi_script_name) { return 404; } wp-login.phpやwp-admin/配下のurlに適用 admin-ajaxはcronジョブからのAjaxリクエストで使うので除 外
- 31. その他...脆弱性対策。WordPressの自動マイナーアップデートは動くようにしておきま しょう wp-config.php define('FTP_USER', 'kusanagi'); define('FTP_PASS', 'xxxxxxx'); WordPress 5.2?追加されたサイトのヘルスチェック机能
- 32. 常时厂厂尝化
- 34. 常时厂厂尝化 ● セキュリティリスク軽減(プレーンテキストで流れない) ● Googleの検索エンジンのランキング対策として ● HSTS(HTTP Strict Transport Security):クライアントにHTTPSリクエストを強制
- 35. Let’s Encryptでドメイン認証(DV)証明書を取得 ● 無料のSSL証明書 ○ hostname.example.com の証明書発行(Let’s encryptはマルチドメインサポート . *example.com) ● Certbotを使いACME(Automatic Certificate Management Environment)プロトコ ルで発行 ● KUSANAGIの場合は、以下のコマンドライン(#) で簡単に導入できます。 # kusanagi ssl --email user@example.com # 内部的には、certbotを使っています。CentOS系であればcertbotパッ ケージ、Debian系Ubuntuではletsencryptパッケージで導入可。
- 36. 常时厂厂尝化の設定について ● HSTS(HTTP Strict Transport Security) # kusanagi ssl --hsts on /etc/nginx/conf.d/profile_name_ssl.conf add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains;preload;' always;
- 37. HTTPSリダイレクト設定 ● Nginxのrewriteルール /etc/nginx/conf.d/pacificmall_ssl.confを以下のように変更 rewrite ^(.*)$ https://hostname.example.com$request_uri permanent; もともとhttpサイトで運用されてて、 httpsサイトへリダイレクトしたいときなど