Joomla! はとても高性能な CMS であり、会員サイトを構築するのに適していますが、その性能を最大限引き出すためには、色々と考慮しておくべき事項があります。
今回のブログでは、CMS を使ったウェブサイト構築時に盲点となりそうなポイントをお伝えしていきます。
サーバー環境を整える
Joomla! に限らず、ウェブ・アプリケーションを利用する際には、サーバ仕様を十分に確認しておく必要があります。2021年5月現在、Joomla! を利用する際のサーバ仕様は以下の通りです。
| 推奨 | 最低 | 追加情報 | |
|---|---|---|---|
| PHP | 7.3 + | 5.3.10 |
(Magic Quotes GPC, MB String Overload = off) (Zlib Compression Support, XML Support, INI Parser Support, JSON Support, MB Language = Default) |
| 利用可能なデータベース | |||
| MySQL | 5.5.3 + | 5.1 | (InnoDB support required) |
| SQL Server | 10.50.1600.1 + | 10.50.1600.1 | https://www.microsoft.com/sql |
| PostgreSQL | 9.1 + | 8.3.18 | https://www.postgresql.org/ |
| 利用可能なウェブサーバ | |||
| Apache | 2.4 + | 2.0 | (with mod_mysql, mod_xml, and mod_zlib) |
| Nginx | 1.8 + | 1.0 | https://www.nginx.com/resources/wiki/ |
| Microsoft IIS | 7 | 7 | https://www.iis.net |
これに加えて、もしビジネス目的のウェブサイトであるならば、いわゆる「共有サーバ」ではなく、VPS を選択することをお勧めいたします。共有サーバの場合、サーバを共有している他のサーバ利用者の影響を受ける可能性が高く、ページの読込スピードが突然落ちたり、メールがブラックリストに入りやすいからです。
セキュリティーを考える
例えば、お問い合わせフォームなど個人情報を送信する可能性があれば、当然ながら第三者に情報が盗まれないように送信内容を暗号化することは常識ですが、現在はフォームに限らず、サイト全体を暗号化通信させることが推奨されています。ウェブページが改竄されてしまうリスクを回避する等、セキュリティー向上が目的です。
このウェブサイト全体の暗号化を「常時SSL」と呼んでいます。
常時SSL化を行えば、どのページにアクセスしても常に「https://〜」で始まる URL となります。
この「常時SSL」化を行う際には、同時に「HTTP/2」と呼ばれる次世代プロトコルを利用することになりますが、2020年以降は HTTP/2 以上に通信速度が速くなる「HTTP/3」が普及する方向となります。しかしまだ対応しているホスティング会社も少ない現状、最低限「HTTP/2」をおさえておくという事で良いでしょう。
当サイトの「リンク」内「お役立ちウェブ・ツール」に掲載している「HTTP/2 Test」を使うと、あなたのウェブサイトが現在 HTTP/2 対応となっているかを確認できます。
こうした基礎があった上で、サイトへの不正アクセスを監視するセキュリティーツールの導入も実施します。これにより既知の不正IPアドレスからのアクセスを未然に防ぐことができます。
また Joomla! では「2段階認証」を利用することも可能です。
2段階認証を利用すれば、たとえユーザ名とパスワードが漏れたとしても、第3者がサイトにログインすることはできないので安全性がかなり高まります(但し、ログイン時の入力項目が増えるので利用が面倒に感じる側面があります)。
これ以外にも、サイトの安全性を高めるノウハウは色々とありますが、その多くはサイト構築時(またはサーバ選定時)に検討しておいた方がベターです。例えば、4CREATOR JAPAN が推奨するサーバには、サーバ管理ツールにウイルス・スキャン機能が備わっており、メールを経由してハッキングを試みる不正を未然に防ぐことができていますが、これに相当する機能を持たないサーバも案外多いのが実情ではないでしょうか。
SSL のバージョンにも注意
通信の暗号化といえば、SSL という用語くらいは一般的に認知されているようですが、SSL と呼ばれている時点で古い、ということは意外にもまだ広く知られていません。
SSL(Secure Sockets Layer)は、3.0までバージョンアップされた後、TLS(Transport Layer Security)と呼称が変わっています。ただし、TLS の認知度がまだ低いため、TLS/SSL または SSL/TLS といった表記がなされることが多く、こうした記事を書く際にはちょっと不便ではあります。
その TLS ですが、現時点でバージョン1.3までアップされています。
TLS 1.0 または 1.1 は脆弱性が指摘されていますので、最低限 TLS 1.2 を利用する必要があります。
当サイトの「リンク」内「お役立ちウェブ・ツール」に掲載している「SSL Server Test」を使うと、SSL の利用状況がわかりますので、ご自身のドメインを入力して確認してみると良いでしょう。
SSL Server Test を実行すると上図のような結果が出ます。
「A」評価であれば問題ありませんが、「B」以下の場合は改善ポイントをチェックしておきましょう。
サーバの物理的位置
ウェブページに表示される内容はサーバから送信されますので、そのページを表示させる端末とサーバの場所が物理的に近い方が読込スピードの観点からは有利です。このため日本語サイトで日本人のみが閲覧する前提であるならば、日本のホスティング会社を利用するのは理にかなっています。
しかし多言語サイトを運営するならば、必ずしも日本のホスティング会社を選択することがベストではありません。
一口にホスティング会社といっても、実に様々ですので一概に言えませんが、個人的な感想としましては、米国のホスティング会社の方が維持費が安く、また、サーバの仕様面で優れていると思います。
米国のホスティング会社といっても、サーバ自体が米国に在るとは限りません。実は日本を含むアジア圏にもサーバ拠点を持っている場合があります。この場合、サーバの物理的要件をクリアしながら、高性能なサーバを安く利用できる、ということになります。
また米国サーバの場合、サポートが24時間体制となっていることが普通なので、何か問題が発生した際の解決が早いというメリットもあります。その際の連絡は当然ながら英語となりますが、Google翻訳等を利用すれば意外に困ることはありません。
経験値の豊富さが自慢です
すっかり長くなってしまいましたので、今回はこの辺で終わろうと思いますが、他にもDDoS攻撃等、ハッカーからサイトを守るための『セキュリティーに関するノウハウ』であったり、『ページの高速化表示のためのノウハウ』であったり、ウェブサイトを運営するためには様々な知識や経験が必要となります。
4CREATOR JAPAN は12年以上の実務経験の中、様々な課題に直面しながらもそれらを乗り越えてきた、Joomla! スペシャリストとしてのノウハウを沢山蓄えています。ぜひ安心してお任せください。
ご希望を頂けましたら、ホスティング会社の選定やサーバ移転もお手伝いさせて頂いております。
