Contents
前回のおさらい
ECサイト構築に必要な周辺のこと
- 「特定商取引法に基づく表記」ページを用意
- 「特定商取引に関する法律」第11条
- WooCommerceに専用欄が用意されるので入力
- 「プライバシーポリシー」ページを用意
- 「個人情報保護法」に定められている
- 固定ページが下書きの状態で用意されている
- 決済代行会社との契約
- カード決済/コンビニ決済/キャリア決済など導入する場合は別途、決済代行会社と契約する
- WooCommerceと連携させる決済プラグインを追加で導入
- 配送会社/物流倉庫(フルフィルメント)と契約
- インターネットバンキング
- Web/メール/アプリで入金確認できるので便利
WooCommerceの設定(続き)
- 送料の設定
- 「配送地域」 ×「 配送クラス」の掛け合わせで送料が決まる
- 「配送クラス」には「60サイズ」など梱包サイズを設定
- クロネコヤマトなど利用する配送会社の料金表など参考にする
- 「配送地域」 ×「 配送クラス」の掛け合わせで送料が決まる
- 商品に送料の設定を反映させる
- 梱包サイズを指定する(60サイズなど)
- 決済の設定
- 銀行振込の場合
- Japanized for WooCommerceがまだブロックエディタに対応していないので、「お買い物かご」「購入手続き」などの固定ページには、従来の形式(ショートコード[woocommerce_cart]など)で設置する必要があった。
- PayPal(クレジットカード決済)の場合
- Japanized〜 関連のPayPal決済モジュールをインストール
- PayPal管理画面にてAPI情報を発行する
- PayPal決済モジュールに、発行されたAPI情報を入力
- 銀行振込の場合
- WooCommerceが自動生成した関連するページ(カートなど)をグローバルメニューに追加
- テスト注文
- カートに入れる
- カートの中身をみる
- お支払いへ進む
- 注文者情報を入力
- 送料がリアルタイムに計算される
- 決済方法を選択
- PayPalを選んだ場合はPayPalの画面が開くが今回は銀行振込を選択
- 注文完了の表示
- 「マイアカウント」ページに移動すると、今注文した内容のステータスが「保留中」となっている
- Mailhogで注文明細メールが届いていることを確認
- メール文面に振込先口座が書かれている
- 商品代金を振り込むことができる
- 名字が書かれていない、など不具合がある→メールテンプレートの修正が必要
- メール文面に振込先口座が書かれている
- 管理者宛の注文通知メールも届いている
- WP管理画面から注文内容を確認
- ステータスを「支払い待ち」に更新
- マイアカウントでステータスを確認すると「支払い待ち」に更新されている
- 入金があったと仮定し、ステータスを「処理中」に更新
- マイアカウントでステータスを確認すると「処理中」に更新されている
- Mailhogを確認すると「現在処理中です」というメールが届いている
- 発送が完了したと仮定し、ステータスを「完了」に更新
- マイアカウントでステータスを確認すると「完了」に更新されている
- Mailhogを確認すると「注文が完了しました」というメールが届いている
- 商品到着を待つ
- (マイアカウントからいつでも過去の注文履歴を確認できる)
↓↓↓
ECサイトに必要なひと通りの機能を
WordPress + WooCommerceを使えば実現できる!
セキュリティとバックアップ
セキュリティは他人事ではない
以下のいずれかorすべてを放置した場合、サイトが改ざんされる確率はかなり高い
- WordPressのコア(本体)をアップデートせず放置
- プラグイン/テーマをアップデートせず放置
- パスワードの使いまわし
- サイトがSSL/TLSに対応していない
- FTPの不適切なパーミッション設定
私自身も(記憶にある限り)過去4回、サイトが改ざんされた
- 2回は(たぶん)プラグインのセキュリティホールがきっかけ
- 1回は(たぶん)FTPの不適切なパーミッション設定
- 1回は(たぶん)設置していた他のアプリケーションのアップデート放置
どのように対応すべきか?→
「絶対に安全な方法」はない。「やるべき」とされていることは一通りやり、自動バックアップを設定する。
やるべきこと(私がやっていること)9選:
- WordPressコア/プラグイン/テーマいずれも自動アップデート(※)を設定
- 使わないプラグインやテーマは放置せず削除
- 自動バックアップを設定する(プラグインを使用)
- パスワードは使い回さず、サイトごとに自動生成しブラウザに記憶させる
- セキュリティ系プラグインを設置
- レンタルサーバー側のセキュリティ機能を有効化
- SSL/TLSを設定
- FTPで各ファイル/フォルダに適切にパーミッションが設定されていることを確認
- wp-config.phpファイルを一般からは1つ上の階層(=public_htmlの1つ上)に移動し、Web公開領域の外に置く
WordPressコア/プラグイン/テーマいずれも自動アップデートを設定
- WordPressコアは、デフォルト設定ではマイナーアップデートは自動適用される
- (※)メジャーアップデートは手動
- 使用中のプラグインが最新版のWPに対応済みであることを確認し、手動アップデート実行
- (※)メジャーアップデートは手動
- プラグイン/テーマはデフォルト設定では手動アップデート
- 特に理由がないかぎり自動アップデートを設定する
- プラグインファイルを直接カスタマイズするとアップデートで上書きされてしまう
- アクション/フィルターフックを使ってテーマのfunctions.phpにカスタマイズ内容を記述、または外部プラグイン化していれば問題ない
- 大きな機能変更があった場合は不具合が起こる可能性あり
- その場合もバックアップを取っていればすぐに戻せる
- プラグインファイルを直接カスタマイズするとアップデートで上書きされてしまう
- 自動アップデートの設定は別紙参照
- 特に理由がないかぎり自動アップデートを設定する
- テーマはデフォルト設定では手動アップデート
- 特に理由がないかぎり自動アップデートを設定する
- 親テーマを直接カスタマイズするとアップデートで上書きされてしまう
- 子テーマをつくり必要な箇所のみオーバーライドしていれば問題ない
- 大きな機能変更があった場合は不具合が起こる可能性あり
- その場合もバックアップを取っていればすぐに戻せる
- 親テーマを直接カスタマイズするとアップデートで上書きされてしまう
- 特に理由がないかぎり自動アップデートを設定する
参考)プラグインとテーマの自動更新 – WordPress 日本語
https://ja.wordpress.org/support/article/plugins-themes-auto-updates/
参考)WordPressの自動更新(バックグラウンド更新)機能を徹底解説 – Kinsta
https://kinsta.com/jp/blog/wordpress-automatic-updates/
注意)有償プラグインは自動アップデートに対応していないことが多い。手動で対応(配布元のサイトから最新版をダウンロードして、サイトに上書きでアップロード)。
使わないプラグインやテーマは放置せず削除
- プラグインを「有効化」していなくても改ざんされる恐れあり
- 使用しないとなるとアップデートも放置しがち
- 脆弱性の温床
- 使用しないとなるとアップデートも放置しがち
- 使用していなくても、プラグイン/テーマのアップデート確認のために負荷もかかる
- 使わないプラグインやテーマは削除する
バックアップ
プラグインを使用して自動バックアップ
- 「Updraft plus」または「BackWPup」が有名
- 前者は復元機能も無料で使いやすいのでおすすめ
UpdraftPlus WordPress Backup Plugin:
https://ja.wordpress.org/plugins/updraftplus/
- 前者は復元機能も無料で使いやすいのでおすすめ
- バックアップの保存先は、サーバーの外部に置くのが安全
- 同じサーバー上に保存すると、クラックされた場合にバックアップデータも感染している可能性もある。またサーバー自体が何らかの理由ですべてデータが飛ぶ可能性もある(バックアップの意味がなくなる)。
- DropboxやGoogle Driveなどクラウドストレージが便利
https://www.dropbox.com/ja/
https://www.google.com/intl/ja_jp/drive/
自動バックアップやアップデート手順
- WordPressのプラグインの手動アップデート設定
- WordPressのプラグインの自動アップデート設定
- Updraft plusの手動バックアップ、改ざん、復元
- Updraft plusの自動バックアップ
WordPressでプラグインやテーマを手動アップデートする方法
更新通知は管理画面に赤いバッジでアップデートがあるプラグインの数字が表示されるのでわかりやすい。
プラグインの場合
管理画面 > プラグインの一覧画面を開きます。
更新リンクをクリックで手動アップデート完了です。
テーマの場合
管理画面 > 外観 > テーマの一覧画面を開きます。
管理画面[外観]>[テーマ]をクリックすると、インストール済みのテーマが一覧表示されます。
更新が完了すると、「更新しました」が表示されます。
WordPressでプラグインやテーマを自動更新する方法
プラグインの場合
管理画面 > プラグインの一覧画面を開きます。
各プラグインの一番右の列にある「自動更新を有効化」をクリックすると、そのプラグインの自動更新が有効になります。
テーマの場合
管理画面 > 外観 > テーマの一覧画面を開きます。
各テーマの詳細を開き、その中にある「自動更新を有効化」をクリックすると、そのテーマの自動更新が有効になります。
プラグインと同様に「自動更新を無効化」をクリックするとまた無効に戻すこともできます。
自動更新後の通知メール
ちなみに、実際に自動更新が行われると、通知メールが管理者メールアドレス宛に送られます。
Updraft plusの手動バックアップ、改ざん、復元
プラグインのインストールと新規作成
「UpdraftPlus」とは、データのバックアップを自動で行い、復元も簡単な操作で行えるバックアップのおすすめプラグインです。まずはインストール後、有効化してください。
プラグインを有効化すると、WordPress管理画面レフトナビ「設定」に「UpdraftPlus」のメニューが表示されます。
こちらのUpdraftPlus管理画面から、バックアップや復元を行っていきます。
バックアップデータをサーバーへ保存する方法
UpdraftPlusではバックアップしたデータを、今すぐ取りたい場合には「手動」で、定期的に期間を決めて取りたい場合には「自動」で、サーバー上に保存することができます。
「手動でバックアップする方法」と「自動でバックアップする方法」に分けて、やり方を説明します。
手動でバックアップする方法
1.「今すぐバックアップ」ボタンをクリックする
UpdraftPlusの管理画面を開いた時の標準画面である「バックアップ/復元」のタブから、「今すぐバックアップ」のボタンをクリックします。
ポップアップで実行画面が開きますので、そのまま「今すぐバックアップ」ボタンを再度クリックします。
2.正常にバックアップされたかを確認する
バックアップが完了すると、ページ下部の「既存のバックアップ」欄にバックアップ情報が表示されます。
ここに、バックアップを行った日付・時間で表示がされていれば、バックアップの完了です。
Core Cafeを“改ざん”してみよう
例えば・・・
- ショップの名前を変更
- 同じコーヒー豆(商品)を20個複製
- 登録した商品の画像を別のものに
- 商品の値段を変える
- テーマ(外観)を別のものに
- スライドを入れてみる
- 地図を入れてみる
- Twitterを埋め込んでみる
- ユーチューブを埋め込んでみる
- お問い合わせフォームの文言を方言に変えてみる
- 気になるプラグインを片っ端からインストールしてみる
など、過去にWordPressサイト制作で習ったことや、こんなことはできないか?といったチャレンジ的なことなんでも変更してみましょう。
Updraft plusで復元
(授業内に補います)
Updraft plusの自動バックアップ
WP管理画面 > 設定 >UpdraftPlus バックアップ をひらく
「設定」タブをクリック
スケジュール設定
スケジュールの項目では、以下の通り設定を行ってください。
- ファイルバックアップ: 毎週/4
- データベースバックアップ: 毎日/7
以上で、テーマ/プラグイン/アップロードした画像などは週1回、過去4週分のバックアップが自動で保存される。記事は毎日、過去7日分のバックアップが自動で保存される。
サイトの更新頻度や運営方針、バックアップ先の空き容量を考慮して、バックアップの頻度を決める。
保存先の設定
保存先はクラウドストレージに設定するのが便利。(DropboxやGoogle Driveなど)
バックアップ対象の設定
バックアップするファイル: 全てチェック
基本的には、デフォルトのままで問題ないので、そのまま進みましょう。
その他の設定
その他の項目も特に変更は必要ありません。バックアップ通知のレポートが欲しい場合は、メールにチェックを入れておいてもOKです。
最後に、「変更を保存」をクリックすれば、設定したスケジュール通りに自動バックアップが実行されるようになります。
以上で自動バックアップの設定は完了です。
お疲れさまでした。
以下は読み物的補足
バックアップデータの内容
UpdraftPlusでバックアップを行うと、「データベース」「プラグイン」「テーマ」「アップロード」「その他」の5つのデータに分けて保存されます。
それぞれのデータの内容は、下記の通りです。
WordPressの管理画面から作成した投稿の記事や固定ページ、Welcartで登録した商品や情報、購入者の情報など、WordPressのデータベースに保存されているデータがバックアップされています。
WordPress管理画面レフトナビ「プラグイン」にインストールされているプラグインの情報がバックアップされています。
WordPress管理画面レフトナビ「外観」→「テーマ」にインストールされている全てのテーマがバックアップされています。テーマ内のCSSやPHPファイルを編集している場合、その編集内容も保存されています。
WordPress管理画面レフトナビ「メディア」に登録されている画像等がバックアップされています。
上記①~④以外のサーバー上にあるデータがバックアップされています。
印刷したい場合はPDFがダウンロードできます