これを押してください: Rogier Lankhorst による本当にシンプルな SSL
公開: 2023-08-19WMR の WordPress コミュニティ ポッドキャスト、Press This へようこそ。 各エピソードでは、コミュニティ周辺からのゲストが登場し、WordPress 開発者が直面している最大の問題についてディスカッションします。 以下はオリジナルの録音の書き起こしです。
レッドサークル提供
Doc Pop : WMR の WordPress コミュニティ ポッドキャストである Press This を聞いています。 毎週、WordPress コミュニティのメンバーにスポットライトを当てます。 私はあなたのホスト、ドク・ポップです。 私は WP Engine での役割を通じて WordPress コミュニティをサポートし、TorqueMag.Io でポッドキャストを行ったり、漫画やチュートリアル ビデオを描いたりすることで貢献しています。 それをチェックしてください。
Red Circle、iTunes、Spotify、お気に入りのポッドキャスティング アプリで Press This を購読したり、wmr.fm でエピソードを直接ダウンロードしたりできます。
今日、私たちは SSL 証明書に焦点を当てて、Web サイトのセキュリティの重要な世界に飛び込みます。 SSL 証明書は、データを暗号化し、ユーザーのデータを保護する仮想シールドのようなものです。 それで、聞き続けるのに十分でない場合は、美しいウェブサイトの作成に心血を注いでいるのに、訪問者が Chrome 経由でサイトにアクセスしようとしたときに、Google があなたのサイトに大きな「安全ではない」ラベルを貼り付けることを想像してみてください。 HTTPS または SSL を使用していない。
今日お話しするのは、非常に人気のある WordPress プラグインである Really Simple SSL の開発者である Really Simple Plugins の主任開発者である Rogier Lankhorst です。Rogier、今日はご参加いただき、誠にありがとうございます。
あなたの誕生秘話と、WordPress を始めたきっかけについてぜひお聞きしたいです。
ロジャー・ランクホルスト:そうですね、番組に参加させてくれてありがとう。 もともと、2016 年だったと思いますが、お客様から、できるだけ早く Web サイトを SSL 化してほしいと私に依頼されました。 そこで、当時流行っていたプラグインをインストールしたら、サイト全体がダウンしてしまいました。 そのとき、これをもっと軽量かつ簡単に、ワンクリックでインストールできるようにできないかと考えました。
そしてそれを WordPress で公開したのですが、その後はまさにジェットコースターでした。
ドク・ポップ:その通りです。 そして、これはあなたの最初の WordPress プラグインではありませんでしたね? これは、これほど大規模に普及した最初のプラグインでしたが、それ以前にも Really Simple プラグインがいくつかありましたね。
Rogier Lankhorst:いくつかの本当に小さな実験、私が当時考えて発表したものですが、あなたが言ったように、あまり普及しませんでした。 So Really Simple SSL は、最初の大ヒットと言えるでしょう。
Doc Pop:私は宝くじをたくさん買うというたとえがいつも好きです。 たくさんの実験を行って、そのうちの1つがうまくいき、そこからビジネスを構築することができたような感じですね。 SSL について話しているので、リスナーに SSL 証明書とは何なのか説明できますか? そして、WordPress サイトにそれを含めることがなぜ重要なのでしょうか?
Rogier Lankhorst: SSL 証明書を使用すると、Web サイトはすべてのデータを Web サイト訪問者に送信する前に暗号化し、その逆も同様に暗号化します。 そのため、Web ショップだけでなく、攻撃者によってなりすまされる可能性のある Web サイトのセキュリティを確保するのに役立ちます。 そして、Googleでのランキングにも最適です。
また、Web サイトにロックがあると、ブラウザーでの見た目がはるかに良くなります。 SSLは無料なのでインストールしてみてはいかがでしょうか?
Doc Pop:この番組の冒頭で、私が初めて SSL について考えたのは、Chrome を使用していて安全ではないサイトに遭遇したときであり、そのサイトが私のものであると述べました。 だから私は自分のサイトを見て怖かったのです。 また、ユーザーが私のサイトにアクセスして閲覧する際のエクスペリエンスを向上させるために、SSL 証明書のインストールについて学ぶ必要がありました。 SSL をインストールし、HTTPS アドレスを取得すると、Google は Chrome アクセス時にその警告を表示しなくなりますが、SEO にも影響しますか?
ロジャー・ランクホルスト:ああ、確かに。 Google には、ユーザーがやりたいことを実行できる強力なツールがたくさんあります。 そして彼らが持っている最も強力なツールはランキングです。 したがって、Web サイトの所有者に何かをしてもらいたい場合は、それをランキングのメカニズムに組み込むだけで、Web サイトもそれに従うようになります。
Doc Pop:そして、最近では SSL 証明書が無料になったとおっしゃいましたね。 私が最初にサインアップしたときは、それが起こり始めたばかりだったと思います。それは骨の折れるプロセスで、おそらくお金がかかるように思えましたが、その後、Let's Encrypt のようなサービスが登場して、本当に簡単になりました。 それに加えて、私を含む多くの Web ホストが Let's Encrypt を無料で提供し始め、できるだけシンプルにするためにプロセスに Let's Encrypt を組み込み始めました。これは本当に役に立ちます。
では、現在、おそらく私のホストからインストールできるこれらの代替手段があるにもかかわらず、ホストが提供する代わりに Really Simple SSL を使用する人がいる理由はあるのでしょうか?
Rogier Lankhorst:そうですね、Really Simple SSL はもともと SSL 証明書を生成するために構築されたものではありません。 これは、2 年前に私たちが追加したものにすぎません。Really Simple SSL であれば、証明書も生成できるはずだと考えたからです。しかし、それが人々が Really Simple SSL をインストールする主な理由ではありません。
ユーザーが SSL を使用している場合、それをどうすればよいのかわからないことがよくあります。 WordPress では、いくつかのことを行う必要があります。 リダイレクトを追加し、混合コンテンツなどを修正し、セキュリティ ヘッダーを追加して、安全な SSL から得られるすべてを実際に活用します。 それが依然として主な理由だと思います。人々は Web サイトに SSL を構成する最も簡単な方法として Really Simple SSL をインストールします。
Doc Pop:そうですね、追加されていないセキュリティ機能もいくつかありますが、私はそれらが Really Simple SSL の一部である SSL 関連であるとは必ずしも考えていません。 Really Simple SSL に含まれるその他の高度な機能について教えていただけますか?
Rogier Lankhorst:多くの人がすでに私たちのことをセキュリティ プラグインだと考えていることに気づきました。 そこで、その期待に応えなければいけないと思いました。 私たちは、ユーザー登録のブロックなど、いくつかの強化機能を追加することから始めました。 多くの Web サイト所有者は、ユーザー登録が開かれていることや、ユーザーの電子メール アドレスやライセンス キーなどの重要な情報が含まれている可能性があるデバッグ ログの場所などに気づいていません。 ファイル編集、ログイン画面でのフィードバック。
ログインして WordPress が「ユーザー名が正しくありません」と言ったら、攻撃者は知っているので、もう一度試すことができます。 つまり、これらすべては、最終的には完全なセキュリティ プラグインに拡張するための実際の始まりとなります。 最後に追加した機能は脆弱性検出です。これは、WordPress Web サイトのセキュリティに関する問題のほとんどは更新されていない脆弱性のあるプラグインによって引き起こされるため、Web サイトを確実に保護するための非常に優れたツールです。 したがって、ユーザーがそのことをもっと認識すれば、WordPress はより安全になると思います。
Doc Pop:あなたが言及したことはすべて、WordPress のセキュリティに関して人々が抱いているちょっとした不満だと思います。 そして、Really Simple SSL が SSL 証明書をインストールする簡単な方法に進化したことは非常に興味深いですが、同様にパッチを適用する必要もあります。 それを修正するための本当に簡単な方法があります。
Really Simple SSL というプラグインを使用している場合、肥大化が懸念されるかどうかが気になります。 これらの追加機能を追加することで、作業が少し難しくなるのではないかと心配することがあります。 それに加えて、機能を追加するときにプラグインの名前を変更することも考えているのでしょうか?
Rogier Lankhorst:そうですね、最終的には Really Simple Security になることが目標です。 それが来年の初めになると思います。 しかし、むくみについて話しながら、それは難しいことです。 物事をできるだけシンプルに保ちたいと考えています。 そのため、私たちは SSL アクティベーションのみを引き続き実行できるようにするために懸命に取り組んできました。
他のものはすべてモジュール式で、使用しないときはロードされませんが、同時に、私たちは複雑なものを本当にシンプルにするのが得意だと思います。
私たちが実際にできることは、技術者以外のユーザーにとっても非常に簡単なものになるという点にあると思います。 より上級のユーザーの場合は、設定をさらに深く掘り下げることができます。
ドク・ポップ:それは素晴らしいですね。 ちょっと休憩するのに良い場所だと思います。 そして戻ってきたら、Google の SSL 推進について Rogier と話し続けるつもりです。 WordPress リポジトリで最も人気のあるプラグインの 1 つがどのようなものであるかについて、もう少し詳しく説明します。
楽しみにしていてください。
Doc Pop: WordPress コミュニティ ポッドキャストである Press This へようこそ。 私はあなたのホストのドク・ポップです。 今日は、Really Simple Plugins の主任開発者である Rogier Lankhorst と話をします。 Really Simple plugins は Really Simple SSL と呼ばれる非常に人気のあるプラグインを作成しているため、SSL について話しています。 Rogier 以前、この休憩の前に、最近私たちが SSL 証明書について話している主な理由は、Google が Web 上でこれを実現するよう推進したためであると述べました。
また、Google がおそらく期間の短縮を求めていることもわかりました。 したがって、一部の SSL 証明書は 2 年間程度のものですが、Google は 90 日間の SSL 証明書を推進することについて話しています。 Google が人々に SSL の取得をどのように奨励したかについて何か考えたことはありますか?
それは誰にとってもうまくいったと思いますか?
ロジャー・ランクホルスト:そうですね、それは良いことだと思います。 Google がこのような取り組みを始めた当時、多くのユーザーはまだ、私が運営しているのは小さなブログなので、SSL は重要ではないと考えていました。 私のサイトにはユーザー データはありませんが、攻撃者が Web サイト間のその種の接続を利用する方法は他にもたくさんあり、別の Web サイトにあるふりをしてユーザーに間違った情報を表示する可能性があります。
したがって、最終的にはすべての Web サイトが SSL 接続になることが非常に重要だと思います。 したがって、私は、Google がこのようなことを行うには常に独自の理由があると思います。 この場合。 それはいいことです。
Doc Pop: 90 日という制限について、何か考えたことはありますか?
Rogier Lankhorst:うーん、私はその背後にある理由についてはよく知りませんが、それについては少しは知っていて、証明書の有効期間が短い方が安全であることは知っています。 また、Let's Encrypt で最もよく使用されている SSL 証明書の有効期間はすでに 90 日間であるため、それほど大きな違いはないと思います。したがって、いずれにしても大きな影響はありません。
Doc Pop:それでは、Really Simple SSL の話に戻りましょう。 WordPress リポジトリ、プラグイン リポジトリ、500 万の無料バージョンにバージョンがあります。 何度も言いますが、アクティブ ユーザー数 500 万人以上というのは、とても衝撃的な数字です。
Really Simple SSL の無料バージョンと、皆さんが提供しているプロ バージョンの違いは何ですか?
Rogier Lankhorst:プロ バージョンには主に多くのセキュリティ ヘッダーが含まれており、ほとんどのユーザーはセキュリティ ヘッダーについてあまり詳しくないと思います。 ただし、これらはユーザーが Web サイトに設定できる非常に重要なヘッダーであり、セキュリティも向上します。 そして、自分の Web サイトだけでなく、Web サイト訪問者にとっても重要です。これはセキュリティの面で忘れられがちだと思います。
私たちはセキュリティ ヘッダーの設定を非常に簡単にします。現在、たとえば脆弱性の検出に取り組んでいます。 脆弱性が検出された場合、更新または現在時刻を自動的に処理する機能があります。 また、WordPress ユーザー プロファイルの更新または作成以外の方法で管理者ユーザーを作成できないようにするいくつかの優れた新機能も予定されています。
したがって、最近の脆弱性を見ると、管理者ユーザーが作成されるタイミングに大きな問題があることがわかります。 したがって、これをロックすれば、多くの脆弱性を防ぐことができます。
Doc Pop:このプラグインと WordPress リポジトリのランキングについて話しました。 私は現在 wordpress.org/plugins の人気のページにいます。これらが順位付けされているかどうかはわかりませんが、これらはすべて 500 万以上のアクティブ インストールを持つプラグインです。 このリストを見ると、Really Simple SSL が 9 番目にランクされています。 これは実際、アクティブ インストール数の点で、現時点で 9 番目に人気のあるプラグインであることを意味しているのではないかと思います。
ロジャー・ランクホルスト:その通りです。 うん。
ドク・ポップ:うわー。 信じられない。 ここに Yoast、WooCommerce、Akismet が登場しても、それほど驚くべきことではありません。 このような人気のあるプラグインを作成した人々と話す機会はありません。
彼らと話す機会はあまりありません。 あなたがここにいる間、ちょっと興味があるのですが、それはどんな感じですか? つまり、最初の質問は、これほど人気のある無料のプラグインがあると、おそらくたくさんのリクエスト、たくさんのコメント、たくさんの質問やヘルプリクエストを受け取ることになると思いますが、それが非常に難しいことだと思います。
無料のプラグインではどのように対処しますか?
Rogier Lankhorst:人々が考えているほどサポートリクエストは多くないと思います。 プラグインの開発中、およびこれまでの 7、8 年間、私は常に、質問がある場合は Web サイトに記事を作成するか、プラグイン自体で解決策を作成するか、プラグイン内でより明確にすることを試みてきました。 。
そのため、このアプローチは実際に支持を抑制しました。 そして現在、私たちの会社は 10 名で、サポート担当者は 2 人だけです。 他にも 2 つのプラグインがあり、合計で 650 万以上のインストールがあると思います。 したがって、インストール数を見ると、サポートの負荷は多くの人が考えるほど大きくないと思います。
Doc Pop:このような無料プラグインのビジネス モデルについて話してもらえますか? あなたのような会社が、Really Simple SSL で 500 万件のアクティブ インストールを実現しながら、どのようにして企業であり続けるのでしょうか?
Rogier Lankhorst:そうですね、もちろん、無料ユーザー 100 人ごとに、プレミアム プラグインを購入する人がいます。 そこでアップグレードから会社を構築することができます。 場合によっては、無料ユーザーがアップグレードについて苦情を言うことがあります。 そして、私たちが提供しているものをユーザーに伝えたいと考えています。
そして彼らはいつもこう言います、プレミアム プラグインを使用すると 500 万人のユーザーに対して無料で開発できるので、これは非常に良いことだと思います。
Doc Pop:そして、無料版とプロ版のバランスについて、より大きな製品を宣伝するために、課金方法や無料のままにする方法をどのように決定するかについて考えていますか。 新しい機能がいつ追加されるか、それがプロ専用なのか、それとも無料なのかを判断するのは難しいですか?
ロジャー・ランクホルスト:そうですね。 何を無料にすべきで、何をプレミアムにすべきかということは、常に考えるのが難しい議論です。 そして、私たちは普段、たくさんのものを贈っていると思います。 私たちの主なアプローチは脆弱性と同様で、検出は無料で、脆弱なプラグインを持っているかどうかを誰もが確認できますが、そのための自動ソリューションはプレミアムです。
ということで、こんなふうに分けられています。 そして、今後の最後のアップデートでは、ログイン保護、二要素認証、ログイン試行の制限などの機能をプレミアム プラグインに追加する予定です。 これは、無料のプラグインにはすでに多くの機能が含まれているため、適切なバランスを保ちたいと考えているためでもあります。 私たちは今すぐにさらにプレミアムを付け始めたいと考えています。
Doc Pop:ポッドキャストの無料エピソードをコマーシャルの時間帯に入れるのに、それが良い場所だと思います。これは、無料を維持するのに役立ちます。 素敵なセグエですね。
この短い休憩の後に戻ってきて、Really Simple Plugins の Rogier と、Really Simple が現在提供している他のプラグインについての会話を終える予定ですので、お楽しみに。
今後の続報にご期待ください。
Doc Pop: WordPress コミュニティ ポッドキャストである Press This へようこそ。 私はあなたのホストのドク・ポップです。 今日は、Really Simple プラグインの主任開発者である Rogier Lankhorst と話をします。 SSL 証明書と Really Simple SSL について説明してきました。 また、Rogier さんは他にもプラグインをいくつか持っているという事実についても話しました。
Really Simple plugins で現在注目している他のプラグインは何ですか?
Rogier Lankhorst:当社にはプライバシー ソリューションである Complianz があります。 そして、Really Simple SSL を除けば、最も急速に成長しているプラグインです。 また、ヨーロッパの GDPR などの現地のプライバシー法に従って、Cookie バナーを提供し、同意が必要なサービスもブロックします。 カナダもオプトインプライバシー法を制定しようとしています。 したがって、プライバシー法では多くのことが変わりつつあります。 したがって、プラグインはそれを自動的に処理する方法を提供します。
また、かなり新しい統計プラグインもあります。 最近インストール数が 100,000 に達しました。その目標は、プライバシーに配慮した統計ソリューションを提供することです。そのため、ほとんどの国で同意が必要な Google Analytics を使用する必要がなく、そこでデータが失われます。
Doc Pop:私は最近、Google とウェブと Google の関係についてよく考えているので、このことについて話しているのは本当に興味深いです。 そして私は、もう自分のサイトに Google アナリティクスを導入する必要はないと考えています。 実際に存在するのが Google アナリティクスだけであれば、人々に Cookie をオプトアウトさせる必要はありません。
つまり、あなたはバースト統計について話していて、それがその代替となることについて話しているのだと思います。 ぜひ聞きたいです。 確かにそれには興味があります。
ロジャー・ランクホルスト:そうですね。 ほとんどのユーザーは Google Analytics しか知らず、他にソリューションがあることを知らないと思うので、これは非常に素晴らしいことです。 また、ほとんどのユーザーは、Google Analytics が引き起こすプライバシー問題、特により厳格なプライバシー法の問題にも気づいていません。
Doc Pop:さて、今日は番組にお越しいただき、皆さんが取り組んでいる仕事や SSL 全般についてお話しいただき、誠にありがとうございます。 あなたとの会話はとても面白かったです。 人々があなたが取り組んでいることについてもっと知りたい場合、Really Simple プラグインとおそらくあなたが取り組んでいることを追跡するための良い方法は何ですか。
ロジャー・ランクホースト: Twitter でフォローしてください。 または、ReallySimpleSSL.com でニュースレターに登録してください。最新ニュースに関するニュースレターが数週間ごとに送信されます。
ドク・ポップ:そうですね、それは素晴らしいですね。 番組に出演していただいて本当に感謝しています。 WMR の WordPress コミュニティ ポッドキャストである Press This をお聴きいただいた皆様、ありがとうございます。 最近、素晴らしいエピソードがたくさんありました。もうすぐ WordCamp US に行く予定です。できれば、もっと興味深い話や人々のインタビューを持って戻ってくることを願っています。
Doc Pop: WMR の WordPress コミュニティ ポッドキャスト、Press This をお聞きいただきありがとうございます。 繰り返しになりますが、私の名前はドクターです。Torque マガジンでの私の冒険を Twitter @thetorquemag でフォローすることも、torquemag.io にアクセスして、チュートリアルやビデオ、このようなインタビューを毎日投稿することもできます。 したがって、torquemag.io をチェックするか、Twitter でフォローしてください。 Red Circle、iTunes、Spotify で Press This を購読したり、毎週 wmr.fm で直接ダウンロードしたりできます。 私はホストの Doctor Popular です。WP Engine での役割を通じて WordPress コミュニティをサポートしています。 私は毎週、Press This でコミュニティのメンバーにスポットライトを当てるのが大好きです。