Blog

ブログ

WordPressの「新しいテーマの追加」機能を使うときは気を付けて

wptheme

Version 2.8 – WordPress Codex 日本語版(変更点和訳)

WordPressの最新バージョン、2.8がリリースされました。
管理画面から簡単にアップグレードできますし、2.6→2.7のときのように、インターフェースが激変することもないので、アップグレードをお勧めします。

今回制作チームが特にアピールしているのが、管理画面から公式の「テーマディレクトリ」のテーマを直接利用できるようになった点です。

テーマとウィジェットに彩りを与える2.8のリリース

WordPress のテーマファイルデザインの完成度の高さは、ソーシャルブックマークなどでも良く話題になりますが、それらが「テーマディレクトリ」に登録済みであれば、わざわざダウンロード・アップロードしなくても気軽に試せるようになったということです。

テーマを作るデザイナーの側も、「テーマディレクトリ」に登録しておけば、自分でダウンロード環境や設置方法を説明することなく、「○○というテーマ名で検索してね!」の一言で簡単に利用してもらえるようになります。

これでWordPressはレンタルブログ並み、いやそれ以上の自由度を手に入れたことになります。
今後は個人ブログはますますWordPressにシフトしていくと思います。

…が、私は手放しで喜べません。
「簡単に共有できる」ということは「危険なスクリプトが含まれていたり、問題のあるテーマをうっかり利用してしまう可能性が増える」ことでもあるからです。

私は、FC2ブログの共有テンプレートシステムで、3年くらいテンプレート配布をしていました。
そのときにいただいたユーザーからのレスポンス、制作のノウハウなどは本格的な業務CMSに移行した今も役に立っています。
でも、その頃から
「InternetExplorerでしかまともに閲覧できないテンプレート」
「見た目はきれいだけど、フルテーブルレイアウトでパフォーマンスが低いテンプレート」
「勝手に広告が表示されるテンプレート」
「こっそりとスクリプトが仕込まれた危険なテンプレート」
なども一部存在していました。
一応、FC2側でもチェックしてからリリースするのですが、何しろ数万単位なので限界があります。
Web制作の知識が低い、利用する側ほどそのリスクを負う構図になりました。

レンタルブログの場合はPHPが書けませんから、せいぜいインラインフレームやJavaScriptをヘッダ・フッタに埋め込む程度です。
しかしWordPressは、PHP関数を直接書き込むことでページを出力する仕様になっています(Smartyなどのテンプレートエンジンは介していません)。
利用者のサーバーのPHP設定が緩ければ、技術のある人間にはあんなことやこんなこともやりたい放題なのです。

実際、フリーのWordPressテーマを改ざん・再配布していたサイトが問題になったこともあります。

http://www.viper007bond.com/2008/09/11/be-careful-with-where-you-get-free-wordpress-themes-from/(English)

また、テーマファイル制作者に悪意はなくても、セキュリティホールが存在することもあります。
(下記のサイトは簡単なチェック方法のひとつがアップされてます。参考にしてください)

wordpress 配布されているテーマでXSSの危険性・・・ | NIPPON MODE BGS-WORKS

そんなわけで、安全にテーマファイルを選ぶなら、リリースされてから一定の期間が経過しているか(1年以上経っているとバージョン違いによる機能不備も考えられますが…)、これまで通りソーシャルブックマーク等で評判の良いテーマを探し、それの名前でテーマディクレクトリを検索するのが確実だろうとは思います。

少なくとも、tar.gzとかの圧縮ファイルが入ってるのはやめたといた方がいいんじゃないかとおもいます…