BackWPUpで確実にWordPressのバックアップを取る方法

  あらゆるリスクに備えてデータのバックアップは不可欠だ。バックアップさえできていれば万が一データが消えてしまっても、また復元できるからだ。次の2つを叶えるバックアップができればかなり心強いだろう。 定期的に自 […]

テキサス州「密告サイト」の運営元、中絶反対団体Texas Right to Lifeが求職者の履歴書を流出

妊娠中絶反対団体「Texas Right to Life」は、同団体ウェブサイトのバグにより、サイト上の保護されていないディレクトリに保存されていた履歴書に誰でもアクセスできるようになっていたことで、数百人の求職者の個人情報が流出した。

セキュリティ研究者がTechCrunchに語ったところによると、主にWordPressで構築されている同団体のメインウェブサイトでは、ウェブサイト上のファイルストレージが適切に保護されておらず、300人以上の就職希望者の履歴書や、ウェブサイトにアップロードされたその他のファイルの保存に使用されていたとのこと。それらの履歴書には氏名、電話番号、住所、各個人の職歴の詳細などが含まれていた。

このウェブサイトのバグは、流出の詳細がTwitter(ツイッター)に投稿されてからしばらく後の先週末に修正された。同団体のウェブサイトには、流出したファイルは現在掲載されていない。

Texas Right to Lifeの広報担当者であるKimberlyn Schwartz(キンバリー・シュワルツ)氏は、TechCrunchの取材に対し「情報を探し出して広めた」人々(行為者)について「関係者を保護するために行動を起こしている」と述べた。

シュワルツ氏は、セキュリティの不備によって個人情報が流出した人々に組織がその事実を通知する予定があるかどうかについては言及しなかった。

Texas Right to Lifeは先週、テキサス州の住民に、同州の新しい中絶禁止法に違反して中絶を求めている人がいたら報告するよう促す「内部告発」サイトを公開し、怒りを買っていた。この新法では、中絶を希望する人や、受胎後6週間以降の中絶を「ほう助」した人を誰でも訴えることができる。この条項は、中絶手術を行う医師だけでなく、中絶費用を支援する人、友人をクリニックに連れて行ったりするような関係者も対象になると広く解釈されている。

抗議の声が上がるのに長くはかからず、この「内部告発」サイトには、偽の情報やミーム、シュレックのポルノなどが殺到した。9月2日にサイトは一時的に停止したが、これはある活動家が同ウェブサイトのフォームに偽の情報を事前入力してあるiOSショートカットを公開したのと同じ日だった。

しかしその週末、ウェブサイトをホスティングしていたGoDaddyはTexas Right to Lifeに対して、このサイトが利用規約に違反していると指摘し、24時間以内に別のホストを探すようにと指示した。その結果、極右ソーシャルネットワーク「Gab」などの物議を醸したサイトを支援しているウェブホストEpikを介して、同団体は一時的にサイトを復旧させることができた。しかし、それも長くは続かなかった。

米国時間9月6日の時点で「内部告発者(whistleblower)」ウェブサイトは、Texas Right to Lifeのメインサイトに転送されるようになっている。

関連記事
極右お気に入りのレジストラが「検閲に強い」サーバーを構築中
極右ソーシャルネットワークGab、GoDaddyにドメイン登録を抹消されサービス停止

画像クレジット:Sergio Flores / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

WordPress.comが社内コミュニケーションツールのP2をリリース

Automatticの1部門であるWordPress.comが「P2」という新しいプロダクトをリリースした。これは非公開グループの内部コミュニケーションを向上させることを目的としたプロダクトだ。リモートで業務をしているAutomatticは、何年にもわたって社内でP2を使って非同期でコミュニケーションをとってきた。P2は長期間共有する投稿やオンボーディング用のドキュメントなどずっと利用される重要な書類を置いておく場所だ。

P2はWordPress上に構築されている。チームメンバー間で考えを共有するというコンセプトに基づいて大幅にカスタマイズされた、チーム向けWordPressのように思える。今や多くの企業が複数の社内コミュニケーションツールを利用している。P2はそうしたツールの一部を置き換えるものになるかもしれないが、コミュニケーションツールを完全に刷新することを目指しているわけではない。

例えばP2はSlackの競合ではない。リアルタイムのチャットには利用できないからだ。しかしP2を重要な通知の共有に使うことはできる。イントラネットのポータルに置いておくような通知のことだ。

画像クレジット:WordPress.com

P2は長期にわたるプロジェクトにも使うことができる。またチーム専用のP2を作ることもできる。この場合、P2はFacebookのWorkplaceやMicrosoftのYammerの直接の競合になる。非同期コミュニケーションの効果を上げるために、P2にはシンプルなWordPressのブログより便利な機能がいくつかある。

例えば、同僚に「@」付きのメンションで通知を送ったり、投稿をフォローして最新情報を受け取ったりすることができる。チェックリストの作成、PDF書類の埋め込み、重要なポストをホームページの最上部に固定、自分が離れていた間の情報のフォローといった機能もある。新規の投稿やコメント、自分宛のメンションを見るための専用メニューもある。

理論的には従来のWordPressのバックエンドにもアクセスできるものの、P2を離れなくても新規投稿を書いたり既存の投稿を編集したりコメントを付けたりすることができる。新しいブロックエディタで見出しやリスト、埋め込みのビデオやメディアを追加して視覚的に編集することができるようになっている。SquarespaceのエディタやNotionにちょっと似ているもので、参照している、あるいはコメントを付けようとしているコンテンツのすぐ横にある新しいエディタを活用するのは大いに理にかなっている。

常に参照できるコンテンツとして、特定の公開日を設けずコメントを付けられないドキュメントを作成する機能もある。このようなドキュメントはカテゴリーで整理され、全社で簡単に共有できる。社内のポリシーやガイドライン、重要な連絡先情報などのドキュメントに利用できるものだ。この種のドキュメントの管理にはGoogleドキュメントやGoogle Driveの共有フォルダを利用している企業が多い。P2はそうした共有フォルダの代替として情報の主要なリポジトリになる可能性がある。

デフォルトではP2のサイトは非公開だが、自社プロダクトの最新情報をクライアントと共有したい場合や、P2を公開イベントに利用したい場合は、サイトを公開することができる。

WordPressのエコシステムをよく知っている人なら、P2というWordPressのテーマをご存じかもしれない。米国時間8月6日に発表されたP2は新しいプロダクトで、以前のP2のアイデアをさらに推し進めたものだ。Automatticはこのコンセプトをイテレーションし、同社の1300人の従業員で912個もの社内P2サイトを利用してきた。

WordPress.comはP2インスタンスをホストして提供する。誰でもP2を無料で作成し、他の人を招待できる。WordPress.comは将来的には有料サブスクリプションで高度な機能を提供する計画だ。つまり、P2をSaaSプロダクトにしようとしている。その一方で、セルフホスティング可能なオープンソース版も引き続き提供される予定だ。

筆者はP2インスタンスをいくつか立てて使ってみた。デフォルトではWordPressの複雑さが隠されていて良いというのが全体の印象だ。目的が明確なすっきりとしたプロダクトで、全社的なメールとSlackの中で行方不明になりがちな通知の間を埋める存在として特に有効だろう。

画像クレジット:WordPress.com

画像クレジット:Dylan Gillis / Unsplash

[原文へ]

(翻訳:Kaori Koyama)

WordPress用ブサイト構築プラットホーム開発のElementorが約15億円調達

WordPressは今やあまりにもありふれているから、このプラットホームを使ってツールやサービスを構築しているスタートアップの大きなエコシステムがあることをつい忘れがちだ。そんなサービスのひとつがElementorで、ここはWordPress上に自分のウェブサイトを作りコンテンツを公開したいと思ってる人たちを助けるグラフィカルなウェブサイト構築プラットホームだ。このツールを使って作られたサイトはすでに400万を超えている。そして今でも半年に100万の新しいサイトが作られている。

同社はイスラエルのテルアビブで2016年に創業した企業で、Lightspeed Venture Partnersが仕切るラウンドで初めての本格的な資金調達を行い、1500万ドル(約16億3400万円)を獲得した 。

LightspeedのパートナーであるTal Morgenstern(タル・モルゲンシュテルン)氏は「Elementorの成長は、コミュニティとオープンソースソフトウェアの力を示す好例だ。創業者はウェブのプロとしての自分たちの問題解決からスタートし、その結果として全世界的でとても複雑なファンベースができてしまった。彼らはElementorを使って、ゼロから自分の本格的なプロダクトを作り上げている。どの数字を見ても、例外的に強力な市場適性を示しており、Elementorの旅の次の章でチームとパートナーできることは最高にハッピーだ」とコメントしている。

Elementorは、デザイナー向けにビジュアルエディターから出来合いのテンプレート集、そして決済やポップアップ、テーマ、WooCommerceによるeコマースサイト作りなどなど、標準的なユースケースのためのウィジェット集まですべてを用意する。多くは無料だが有料ツールもある。それらは1つのサイトなら年間49ドルから、1000サイトまでが年間199ドルだ。

ElementorのCEOであるYoni Luksenberg(ヨニ・ルクセンベルグ)氏は「Elementorの献身的なチームと素晴らしいコミュニティのおかげで、偉大な目標を達成できた。とてもリアルなニーズに応えてきたので3000億ドル市場で大きなシェアを獲得でき、しかも成長が今も続いている。今回の資金調達で、すべてのウェブクリエイターがプロフェッショナルなウェブサイトを容易に作れるという目標に向かう歩みを加速したい」。

同社によると、新たな資金はオペレーションとグローバルなコミュニティの加速に用いたい。2020年には、500回のミートアップを計画している。そしてチームの人数を今の1.5倍する計画を立てている。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

WordPress.comサイトにサブスクを受け付ける「定期支払い」機能が登場

サブスクリプションモデルは、アーティスト、クリエイター、ニュースメディア、ゲーム開発者、エンターテインメントプロバイダなど多くのビジネスを支えている。パブリッシングプラットフォームのトップであるWordPress.comは、クリエイターやウェブパブリッシャーがより簡単にサブスクリプション機能をウェブサイトに追加できる機能を公開した。ウェブサイトのオーナーは自分たちのサポーター、読者、ファン、顧客から継続的に費用を受け取れるようになる。

この機能は有料プランのすべてのWordPress.comサイトで利用できるほか、Jetpackを使っているセルフホストのWordPressサイトでも利用できるという。そしてかなり柔軟だ。

この機能を有効にすると、WordPress.comのWebサイトのオーナーは、週刊のニュースレターへの課金、毎月の寄付の受付、独占コンテンツへの1年間のアクセス権の販売などができる。ほかにも、自分たちの支援者から一定のスケジュールで集金したいものなら、何にでも利用できる。

WordPress.comはこの新機能に関してインターネット決済業者のStripeと提携した。そのため、WordPress.comのブログパブリッシャーは、定期支払いを利用する前にStripeのアカウントも設定する必要がある。設定したらWordPress.comの「収益の獲得」ページで「Connect Stripe to Get Started」(Stripeと接続して始める)をクリックし、セットアップに進む。

ユーザーは支払いプランを何とおりでも作って、複数の通貨や支払いの頻度、名前に対応することができる。顧客や読者、ファンを分類したり、サブスクリプションの種類を複数用意したりできる機能だ。ウェブサイトに「定期支払い」ボタンを設置することもできる。

そして定期契約者は、サブスクリプションをWordPress.comのアカウントからいつでもキャンセルできる。短時間で簡単にウェブサイトにサブスクリプションを追加できるとなれば、手数料や分配金の負担を減らすために、サブスクリプションプランをPatreon(パトレオン)などの大きなプラットフォームから引き上げるクリエイターも出てくるかもしれない。しかしそうすると、ほかのプラットフォームのリソースを失ってしまうことになる。そのため、サブスクリプションの売上を増やすために、単純にWordPress.comを新たなチャネルとして追加する人々が多いかもしれない。

この機能はクリエイター専用ではない。クラブや組織が定期的な会費や手数料を集めるなど、定期的な集金を簡単にしたい人なら誰でも利用できる。WordPress.comは、定期支払いの機能を家賃の徴収に利用する例もあると紹介している。

この機能の登場は、WordPress.comが広く使われていることを考えると、サブスクリプションの普及に大きな影響を与えるかもしれない。米国時間11月12日にWordPress.comは、毎月このプラットフォーム上で4億900万人以上が200億ページを閲覧し、パブリッシャーは1カ月におよそ7000万件の新規投稿を公開していると述べた

[原文へ]

(翻訳:Kaori Koyama)

ウェブをスマートスピーカーの読み上げに対応させるSoundcheck

ゆっくりと、しかし確かにスマートスピーカーは勢力を伸ばしている。AmazonはAlexaを小さな時計から電子レンジまであらゆるものに組み込み、Googleアシスタントはできそうなことを何でも取り込んでいる。この分だと、どんな空間にも声で操作する何らかのデバイスがある日は遠くなさそうに思える。

しかし人々も企業も、自分たちが発信するコンテンツをスマートスピーカーで再生できるようにすることについては、まだいい考えがないようだ。これを可能にすることを目指すSoundcheckが、米国時間11月1日にその扉を開いた。Soundcheckは、コンテンツをスマートスピーカーや音声アシスタントデバイスにとって理解しやすい形にパッケージ化する。

Soundcheckは手始めとしてWordPressを利用しているサイトに的を絞っている。インターネットの30%以上はWordPressを使っているのでターゲットとしては小さくない。Soundcheckは、WordPressで作られたサイトの情報を取得し、1回か2回タップすればその情報の最も重要な部分をGoogleの「読み上げに適した」データフォーマットにまとめられるプラグインを開発した。これは、蛍光ペンでマークをつけて、音声対応スピーカーとそれを動かしている検索アルゴリズムに対して「この情報は君たちのためのもので、こういうトピックに関する質問の答えだよ」と教えるようなものだ。

データをこのような形式にまとめるには、通常、ページごとのトピックに応じたマークアップを書く必要があるが、これはみんなにできることではない(例えば小さな企業の経営者の多くは、ページの見た目を整えるためにWordPressを使っている)。Soundcheckはこのプロセスをボタンを押すだけでできるように集約し、データを検証して、音声アシスタントがコンテンツをどのように読み上げるかのプレビューを提供する。

Soundcheckの基本的なプラグインは、WordPressの最新の50件の投稿まで無料で利用できる。それより多くの投稿に対応させたい場合や、カスタムのAPIと統合したりAmazon AlexaまたはGoogleアシスタントの個別のアプリと関連付けるといった便利な機能を使いたい場合は、月に20〜79ドル(約2200〜8500円)かかる。データがどのように音声でアクセスされたかをサイト運営者が知るための分析ツールも開発しているという。また今後、WordPress以外のコンテンツプラットフォームにも対応する計画だ。

Soundcheckを創業したのはDaniel Tyreus(ダニエル・ティレウス)氏とNarendra Rocherolle(
ナレンドラ・ロシュロール)氏で、ロシュロール氏はWebshotsの共同創業者でもある。Webshotsは超簡単な写真共有サイトで、1999年にExcite@Homeに8250万ドル(約89億円)で売却された。Soundcheckの創業者の2人はもともと2016年からPeckというサービスを開発していた。これは情報を取り出して簡潔な形でパッケージするサービスだ。2人は、この処理の最も難しい部分を利用してデータをパッケージ化し、AlexaやGoogle Homeなどのスマートスピーカーに対応させることができると気づき、こちらに方針転換した。

Soundcheckはこれまでに150万ドル(約1億6000万円)を調達している。支援しているのは、True Ventures、Resolute Ventures、Twitter共同創業者のBiz Stone(ビズ・ストーン)氏、Flickr共同創業者のCaterina Fake(カテリーナ・フェイク)氏で、まさにWordPressを運営しているAutomatticも支援に加わっている。

[原文へ]

(翻訳:Kaori Koyama)

VerizonがTumblrをWordPressの親会社Automatticに売却

6年前に米YahooはTumblr(タンブラー)を11億ドル(約1160億円)で買収した。いっときはマイクロブログのマーケットを支配したサービスだったが、Yahooの親会社であるVerizonがTumblrを売却することが明らかになった。引き受け手はWordPressオーナーのAutomatticだ。売却の条件など詳細は明らかにされていないが、Wall Street Journalの記事によれば「当初の価格に比べれば捨て値」だという。

AxiosはTumblrの売値は「2000万ドルをかなり下回る」という。それなら2013年の価格の2%以下にしかならない。

Tumblrのマイクロブログが大人気だった時代もあったのだが、Yahoo買収後の道どりは困難なものになった。ソーシャルネットワーク分野にFacebook、Instagram、Twitter、Redditが君臨するようになるとTumblreは路傍に取り残された。

ことにポルノを禁止するという最近の決定がビジネスに大打撃を与えたようだ。Sensor Towerの調査によれば、Tumblrのモバイルアプリをダウンロードするユーザーの数は対前年比で33%減少した。

そういう背景を考えれば今回のニュースもさほど意外ではない。Yahooの買収によってTumblrのオーナーになったVerizonはこの5月に買い手を探していると伝えられた。Tumblrは当時Yahoo最大の買い物でCEOだったマリッサ・メイヤーは「絶対に上手くやってみせる」と声明で述べていた。

しかしTumblrはYahooにとって良い買い物ではなく、Verizonとの適合性はさらに悪かった。Verizonは、Tumblrを短命に終わったがOath事業部に統合、さらにVerizon Media Group (TechCrunchの上部組織でもある)に移管した。Automatticは(少なくとも一見したところ)ビジネス上の適合性はVerizonよりずっと高そうだ。AutomatticのWordPressはインターネット最大のパブリッシングプラットフォームであり、プラグインのJetpackやノートアプリのSimplenoteも人気が高い。AutomatticはTumblrの200人の社員も引き受けるという。Tumblrはブログ記事にこう書いている。

同様の目的を持つ2社が力を合わせることになったのは最高だ。よく知られているように、WordPress.comはAutomatticのフラグシップだ。WordPress.comとTumblrは共にブログプラットフォームのパイオニアだった。Automatticには関心を共有することによって活動的なコミュニティを作るというビジョンがある。情報のパブリッシングを民主化し、誰もが自分が興味を持つ物語を共有できるようにしたいと考えている。特にその声がか細く、十分にコミュニティを作れていないならなおさらだ。

画像:Bryce Durbin / TechCrunch

原文へ

(翻訳:滑川海彦@Facebook

WordPress5.0の新エディタ「Gutenberg(グーテンベルグ)」の使い方

Gutenbergとは、Wordpress5.0から採用された新しいテキストエディタのことだ。 従来のエディタとは画面構成や操作感が大幅に変わっているため、とまどった人もいるだろう。しかし一度操作に慣れてしまえば旧エディ […]

Automatticがサブスクリプション支払いソリューションのProspressを買収

WordPress.com、WooCommerce、Longreads、Simplenoteなど多くのクールなサービスを公開しているAutomatticが、Prospressという小さなスタートアップを買収する。Prospressは、WooCommerce専用の定期支払いソリューション、WooCommerce Subscriptionsを開発している。

物理的な、あるいはデジタルのサブスクリプションがeコマースの重要な部分を占めていることから、AutomatticがWooCommerce Subscriptionsを自社のものにしたいと考えたことには納得がいく。顧客に対する定期的な課金は、支払いに関して最も面倒なことのひとつだ。

Prospressは、カートの中に商品が入れっぱなしになっていることを顧客に知らせたり、フォローアップしたり、クロスセルを促したりするマーケティングオートメーションツールにも取り組んでいる。さらに同社には、リリース前のチェックアウト機能をテストするツールもある。買収後、Prospressのチームは引き続きこれまでのプロダクトを手がけ、WooCommerceチームに加わる。

これはきわめて戦略的な買収だ。Prospressの従業員は約20人なので、900人いるAutomatticのチームは表面的には変わらないだろう。しかしAutomatticが(eコマースに関する)多くの積み重ねを手に入れられるという意味で、大きな動きだ。

WooCommerceの競合であるShopifyは、すぐに利用できるサブスクリプションを提供していない。BoldReChargeなどの他社製品を使う必要がある。

WordPressと同様にWooCommerceはオープンソースプロジェクトで、WordPressと直接統合できる。誰でもWooCommerceをダウンロードして自分のサーバーでホストできるということだ。そしてWooCommerceのエコシステムは、ほかのわかりにくいeコマースのソリューションと比べると大きな利点のひとつだ。

WooCommerceのユーザーの多くはおそらくWordPress.com上でeコマースのウェブサイトをホストしているだろう。しかしAutomatticが支払いのモジュールを提供して主導権を持つことになれば、WooCommerceのユーザーが支払いソリューションとしてWooCommerce Subscriptionsを使う場合に、同社はある程度の収益を上げることもできる。

[原文へ]

(翻訳:Kaori Koyama)

iOS用WordPressアプリのバグによりアカウントトークンが第三者に漏洩

WordPressは、あるiOSのバグを修正したと発表した。そのバグとは誤ってアカウントトークンを第三者のサイトに公開してしまうというものだ。

同社から顧客への電子メールの中で(TechCrunchも内容を確認した)、このコンテンツマネジメント大手企業は「iOS向けWordPressアプリケーションに、セキュリティ認証情報を扱う方法上の問題があったことを発見した」と語っている。同社は「予防策として」影響を受けたアカウントのアカウントトークンをリセットした。

同社のAndroidアプリは影響を受けておらず、また自前でインストールしたWordPressホストも影響を受けていない。

問題のアプリが誤って秘密のアカウントトークンを第三者に送信する場合があったのだ。なおユーザー名やパスワードは含まれていなかった。

アカウントトークンとは、毎回パスワードを入力しなくてもアプリやサービスにログインした状態を維持できるようにするための、小さなデータである。もしこれが漏洩したり盗まれたりした場合、そのアカウントトークンを使えば、パスワードを必要とせずに、誰でも対応するアカウントへアクセスすることが可能になる。

WordPressの親会社であるAutomatticに問い合わせたところ、さらに追加の説明を手に入れることができた。簡単に言えば、このバグは、外部のサイトで画像をホスティングしているWordPress.comプライベートアカウントから、画像が取り出される方法の中で発見された。例えば、WordPress.comサイトのあるプライベートに、Flickrでホストされている画像の投稿またはページがある場合、画像の取得に際してアプリはWordPress.comアカウントトークンをFlickrに送信する。

これは意図された動作ではない。これが意味することは、アカウントトークンが第三者の企業のログに残る可能性があるということであり、悪意ある者がWordPress.comのアカウントを狙う可能性があるということだ。とは言え、アカウントへのリスクは最小限であり、ユーザーは過度に心配するべきではない。

プライベートサイトを使うすべてのWordPress iOSユーザーに対しては、アカウントトークンがリセットされた。つまりパスワードを変更する必要はない。

TechCrunch宛ての電子メールでAutomatticの広報担当者は次のように述べている。「最初に影響を受けたバージョンは2017年1月にリリースされたものでした。2019年3月15日にリリースされたバージョン11.9.1ではこの問題が解決されています」。

WordPressは何人の顧客が影響を受けたのかをすぐには回答しなかったが、モバイルインサイト企業のSensor Towerは、アプリは2012年以来iOSで930万回インストールされ、昨年は約130万回インストールされたと電子メールで回答してきた。

ユーザーはできるだけ早く自分のアプリを更新する必要がある。

We found a massive spam operation — and sunk its server

画像クレジット: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:sako)

【重要】人気のあるWordPressプラグインが、Twitterアカウントのハイジャックを許すアクセストークンをリークしていた

これまで何千ものウェブサイトにインストールされ、コンテンツをソーシャルメディア上にシェアする役割を果たして来た、WordPressのとある人気プラグインが、接続されたTwitterのアカウントを危険に晒していたことが発覚した。

問題のプラグインであるSocial Network Tabsは、WordPressで構築されたウェブサイトのソースコード中に、いわゆるアカウントアクセストークンを保存していたのだ。よってソースコードを見た人なら誰でも、接続されたTwitterハンドルとアクセストークンを見ることができたのだ。アクセストークンを使用することで、毎回パスワードを再入力したり、2要素認証コードを入力したりしなくても、携帯電話やコンピュータからウェブサイトへのログインを維持することができる。

しかし、もしそれが盗まれてしまった場合には、ほとんどのサイトはアカウントの実所有者が使用するトークンと、ハッカーが盗んだトークンを見分けることはできない。

フランスのセキュリティ研究者Baptiste Robert(オンラインハンドル名はElliot Alderson)がこの脆弱性を発見し、TechCrunchにその詳細を知らせた。そしてその後、詳細をツイートしている

このバグを検証するために、Robertはウェブサイトのソースコード検索エンジンであるPublicWWWを使って、脆弱なコードを使用している539のWebサイトを発見した。その後彼は、概念実証スクリプトを作成し、影響を受けているウェブサイトかた公開されているコードを抽出して、400以上の接続済Twitterアカウントのアクセストークンを収集した。

取得したアクセストークンを使用して、Robertは彼の選んだツイートに対して、100回以上の「いいね」を行わせることで、それらのアカウントにアクセスできることを実証した。このことによって、流出したアクセストークンが「読み書き」権限を持っていることが明らかになった。事実上彼または悪意のあるハッカーに対してTwitterアカウントに対する完全な制御を明け渡したことになる。

脆弱なアカウントの中には、何件かの認証済Twitterユーザーや、数万人のフォロワーを抱えるいくつかのアカウント、フロリダの保安官事務所、オクラホマ州のカジノ、 シンシナティの屋外音楽場、その他が含まれている。

Robertは12月1日にTwitterに対して、このサードパーティー製プラグインの脆弱性について伝え、アカウントの安全性を取り戻すために、アクセストークンを無効にするように促した。Twitterはまた、影響を受けたユーザーに対して、WordPressプラグインのセキュリティ上の問題について電子メールを送信したものの、それがいつ届けられたかに関してのコメントは行っていない。

Twitterは自分のできることは行ったが、その手の届かない範囲で起きているセキュリティの問題に対しては、できることは多くない。まだ問題のプラグインを使用しているWordPressユーザーは、直ちにプラグインを削除し、Twitterのパスワードを変更して、利用しているアプリがTwitterの接続済アプリから確実に削除されるようにすべきだ。

このバグを抱えたプラグインを開発した、バンコクを拠点とするソフトウェア会社Design Chemicalは、この記事の公開前に当方が送ったコメント要請に対して、返信をしてきていない。

彼らのウェブサイト上では、7年間にプラグインが5万3000回以上ダウンロードされたと述べられている。最後に更新されたのが2013年であるこのプラグインは、今でも毎日数十件のダウンロードが続いている。

MITREは脆弱性識別番号としてCVE-2018-20555を割り当てた。これはRobertが同時期に暴いた2番めの脆弱性である(Robertによる解析コードのGitHub)。1番めの脆弱性に関しては以下の記事を参照。

[原文へ]
(翻訳:sako)

WordPressのAutomatticがニュース企業のためのWebサイトプラットホームNewspackをローンチ

WordPress.comの母胎企業Automatticが、新製品Newspack発表した。詳しい情報はまだだが、それはニュース企業がコンテンツの発行と収益化を行なうためのオールインワンのソリューションだ。

オープンソースのプロジェクトであるWordPressを使って、誰でもWordPress.comでWebサイトを作れる。それは完成度の高いコンテンツ管理システムだ。本誌TchCrunchもWordPress上にある。しかし、サブスクリプション(有料会員制)とか従量的料金制、ユーザーアカウントなどを駆使してコンテンツを収益化しようとすると、そう簡単ではない。WordPress本体には、そのための機能がない。

そこでAutomatticは、ニュース企業のためのプラットホーム、ニュース企業のためのWordPressを考えた。具体的にねらっているのは、地方や地域のニュース企業だ。そういう企業は、デベロッパーを抱えていないところが多いから、サイトの自作も難しい。

ニュース等のコンテンツを自分では作らない、いわゆるメディア企業も、このプラットホームを利用できる。料金は、まだ開発途上の現在は無料だが、最終的には月額1000-2000ドルを予定している。

AutomatticとSpirited Media、そしてNews Revenue Hubが、このプロジェクトのために240万ドルを調達した。Googleのジャーナリズム育成事業Google News Initiativeが120万ドルを出している。そのほか、Lenfest Institute for JournalismやブロックチェーンのConsenSys, Civil Media, The John S., James L. Knight Foundationなどがこのプロジェクトに投資している。

Mediumもオンラインコンテンツの収益化を目指したが、まだいくつかの問題がある。また既存大手のニュース企業はNewspackを使う必要がないだろう。しかし、収益化機能のあるWebサイトプラットホームを求めているローカルな、あるいなマイナーなニュース企業が、欲しがっていたプラットホームではないだろうか、これは。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

WordPress.comがAtavistの買収で支払い決済や有料購読制をサポートか

本誌TechCrunchのベースシステムであるブログプラットホームWordPressを作り、そのほかにもWooCommerce, Longreads, Simplenoteなどのプロダクトを提供しているAutomatticが、ブルックリンのスタートアップAtavistを買収する。

Atavistは、主に個人のブロガーやライターのための、コンテンツ管理システム(CMS)を提供している。AtavistのWebサイトから、誰もが簡単に、画像やビデオや地図など多様なメディアを含むストーリーを書いて公開できる。

そうやって自分のWebサイトを作るのなら、そもそもWordPress.com(AutomatticがホストするWordPress)でよいではないか。SquarespaceのようなWebサイトビルダーもある。でも、Atavistを使うとペイウォール(paywall, 支払い決済システム)を作れるし、購読などの有料会員制(サブスクリプション, subscriptions)のセットアップもできる。

多くのライターが、Webサイトの技術的な細部を自分で扱いたくない、と思っているから、そんな人たちのためにAtavistは便利なツールを用意し、ユーザーが自分のストーリーに集中できるようにしている。

Atavist自身にも、Atavist Magazineという刊行物がある。これ自身もやはり、Automatticの傘下になる。Longreadsの一部になるのか、独自性を維持するのか、それはまだ分からない。

AtavistのCMS本体はそのままではなく、WordPressに統合される、とAutomatticは言っている。これが、この買収ドラマのおもしろい部分だ。

CMSとしてはWordPressの方がたぶんAtavistより相当にしっかりしているが、Automatticはさらに、サブスクリプションとペイウォールの提供を開始したいのかもしれない。月額のサブスクリプションをネイティブで(本体機能として)提供するWordPress.comのWebサイトを想像できる。

今や、全Webサイトの30%がWordPress上だ、と言われる。自分のサーバーの上でオープンソースのWordPressを動かしているところもあるし、本誌TechCrunchのように、Automatticがホストし動かしているWordPress CMS、すなわちWordPress.comの上にブログなどを構築提供するところも少なくない。

このWordPress.comでサブスクリプションができるようになると、それはWebにとって良いニュースだ。Mediumはそのサブスクリプションプログラムを唐突にやめてしまい、個人の出版者の多くが途方に暮れた。購読の有料制を導入したい個人ライターは、もうMediumを信ずる気にならないだろう。

AutomatticはAtavistをベースに、複数の出版サイトのサブスクリプションを管理するシームレスなポータルを作れる。そして、広告のない優れたコンテンツが増えるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

テンプレートを廃しブロック方式で自由度を高めた、一般人のためのWebデザインツールTilda

img_9478

メイカーに代表されるような、いろんなプロジェクトに次から次と手を出すタイプの起業家は、Webサイトも次から次とたくさん作らなければならない。そのための便利なツールとして、Bootstrap(これはやめた方がよい)やSquarespace、WordPressのクールなプラグイン、などなどがかねてからある。ここでご紹介するTildaも、そのひとつだ。

Tildaは使いやすくて応答性の良いページビルダーで、ふつうのランディングページだけなら月額15ドルで利用できる。FunkyPunkyというデザインスタジオをやっているロシアのWebデザイナーNikita Obukhovが、自分たちで使うためにTildaを作り、最近それを一般公開した。画像やテキストのレイアウトはドラッグ&ドロップ方式だから、何かを貼り付けるのは数秒で終わる。

その差別化要因のひとつが、Zero Blockと呼ばれる“Webエディター内のWebエディター”的なツールで、文字やフォントの管理(タイポグラフィー)、図形を描く、アニメーションを作る、などの作業ができる。いわばこれは、Tildaの秘密兵器だ。

Obukhovはこう説明する: “ユーザーは、予(あらかじ)めデザインされているブロックを組み合わせてWebサイトを作る。テンプレートはない。その方が柔軟性があり、ユーザーの自由度も大きい。ブロックは、わが社のプロたちの作品だから、ルックスがよろしい”。

試してみたら、こんなプロジェクトを15分で作れた。既存の写真とテキストを、ちょっと使っただけだ。終わったらすぐにそれをアップできるし、公開できる。ドメインを割り当てるのも簡単だ。とにかく、使用体験はとても快適だ。

Tildaはまだ自己資本のみで、今リピーターの顧客が約4000名いる。

あなたはまだ、Bootstrapから完全に抜け出せないかもしれないし、Tildaの月額15ドルは高いと感じるかもしれない。でも、ぼく自身の証言としては、とても使いやすいから捨てられないツールだね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

WordPressホスティングサービスのMedia TempleがAWS上でサービスのエンタープライズバージョンを展開

2016-05-16_1807

Media Templeが今日(米国時間5/17)、新たにエンタープライズクラスのWordPressホスティングサービスを立ち上げる。ここで興味深いのは、この今やGoDaddyがオーナーである企業が、AWSの上でサービスをホストすることだ。

つまりこのプロダクトには、同社の(mt) Oneによるきめ細やかなWordPress運用サービスと、サポートサービスのCloudTech Premier、およびAmazonのクラウドコンピューティングサービスのスケーラビリティが組み合わされている。

Media Templeのようなホスティング企業が自前のサーバーではなくAmazonのプラットホームからサービスを提供するのは奇妙に思えるかもしれないが、実は同社はすでに、AWS上の管理サービスを伴うクラウドホスティングを、前から提供している

Enterprise WordPress by MT

MediaTempleのプロダクトマネージメント担当シニアディレクターBrendan Fortuneによると、“Media Templeのサーバーも悪くはないけど、仮想プライベートサーバーではできないことがAmazonの技術ならできる、という場合もある”、という。たとえばAmazonのサーバーレスコンピューティングサービスLambdaとか、EC2 Container Serviceによるロバストなコンテナサポートなどだ。Fortuneによれば、Amazonのコンテナ管理サービスを利用した方がMedia TempleもWordPressのデプロイを、ニーズに応じて迅速にスケールアップ/ダウンできる。

そしてそれは同時に、ユーザーに安心感を与える、ということでもある。たとえばユーザーは専用のアカウントマネージャーを持ち、いろんな問題を解決できるとともに、ユーザーとMTが共にプロアクティブに仕事ができる。WordPressのインストールそのものはMedia TempleのCloudTechのチームが行うが、そのときモニタリングシステムを使ってインストールの過程を見守ることもできる。

セキュリティ問題の監視やWordPressインストールのパッチの自動化などはMedia Templeが本来的に提供するが、同時にAmazonのDDoS防御システムCloudFrontの利用もできる。

ただしユーザーへの課金に、AWSの料金が直接現れることはない。Media Templeとしてのプランは2つあり、ひとつは月額2500ドルのエンタープライズ標準プランで、サイトは5つ、クラウドストレージは1TB、月間最大1.5TBまでのCDN利用、コンテナを使用するEC2インスタンスは最大10まで、AmazonのRDSデータベースの利用、などがセットとなる。

もうひとつの、“最大パフォーマンスプラン”は、カスタムメイドのプランなので、料金はその構成によって異なる。

料金を見てもこの新しいエンタープライズホスティングサービスが、巨大企業までは行かない中〜大企業をねらっていることが分かる。一見高い料金のようだが、従来の同社の、管理サービス付きWordPressホスティングサービスPagelyも、ハイエンドのプランではこれぐらいの料金になる。

Fortuneによると、AWS以外にAzureやGoogle Cloud Platformなども検討したが、チームが比較的よく知っている技術であることと、AWSのコンテナサービスを使いたい、というところからAmazonに決まった。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

WordPress.comが傘下のすべてのWebサイトをHTTPSで暗号化へ

lock-e1459872159904

WordPress.comが、そのすべてのブログにHTTPSをサポートする。あなたのWordPressブログがカスタムドメインであっても、あるいはwordpress.comドメイン(たとえば:bestcrabrestaurantsinportland.wordpress.com)であっても、同じ扱いになる。

FacebookやTwitterのようなソーシャルサービスは、その多くがかなり前からHTTPSをサポートしているが、WordPress.comはカスタムドメインに関しては遅れていた。

2014年から、WordPress.comのサブドメインはHTTPSをサポートしたが、ほかはまだだった。しかし何かのスイッチを入れるように簡単にカスタムドメインに切り替えることはできない。証明が必要だから。

しかしLet’s Encryptプロジェクトのおかげで、WebのどこでもHTTPSを実装することが安く簡単にできるようになった。WordPress.comも、これを利用しようとしている。これからは各WebサイトがSSLの証明を持ち、URL欄にはグリーンの鍵が表示されるようになる。〔この鍵をクリックするとSSL認証に関連したいろんな情報が表示される。〕

嬉しい副作用として、GoogleはHTTPだけのWebサイトよりもをHTTPSをサポートしているサイトの方を優遇する。WordPress.comのWebサイトも、Googleの検索結果でランクが上がるだろう。

今、あなたの頭の中には、でっかいクエスチョンマークがあるだろう。HTTPSを有効にするには、何をする必要があるのか? 昼間の主婦向けトーク番組ふうに言えば、WordPress.comがすべてのWebサイトでHTTPSを有効にするから、あなたは何もしないでよい。あなたはSSLの証明をもらう! 誰もがSSLの証明をもらうのだ!

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

WordPress.comがオープンソース化して過去最大のアップデート―Macアプリも公開

2015-11-25-wordpress

昨日米国時間11/23)、WordPressのウェブホスト版のWordPress.comが過去最大のアップデートを受けた。親会社のAutomatticがCalypsoと名付けた今回のアップデートで、WordPress.comは事実上、ゼロから作り直された。まず最大の変化から紹介していこう。

第一に、 WordPress.comは、WordPressコアから完全に独立した。 WordPress.comはウェブサイトの管理者向けインターフェイスとなり、WordPressコアだけでなく、他のサードパーティのアプリのウェブサービスやアプリもコントロールできるようになった。WordPress.comは投稿の取得、新規投稿、写真のアップロード、その他あらゆる処理をREST APIを通じて処理する。

第二に、WordPress.comチームはまったく新しい開発環境に乗り換えた。これまではPHPとMySQLを使っていたが、新しいスタックは全面的にJavaScriptとAPI呼び出しが採用された。つまりユーザーがウェブサイトを訪問すると、サーバーは即座に大部分がブラウザ内で作動するWordPressクライアントを割り当ててくれる。

新しいWordPress.comはシングルページ・アプリケーションだ。このインターフェイスにはローディングしなければならないスクリーンがほんのわずかしかない。したがってパソコンだけでなく画面の小さいスマートフォンや非力なタブレットでも十分軽快に作動する。もし現在、ユーザーがWordPressの管理者バックエンドを使っているなら、これからも直接そのバックエンドにアクセスできる。しかし同時に、WordPress.comを使うことも可能になった。WordPress.com、ジェットパック・プラグインを使ったセルフサービス・ブログ、またはWordPressのVIPサイト(TechCrunchはこれだ)のいずれかを使っているならこのオプションが利用できる。

最後に、新しいサイトは完全にオープンソース化され、 ソースコードはGitHubから手に入ることを付け加えおく必要がある。ユーザーはソースコードを調べて必要に応じてフォークさせ、再利用することができる(当然だがGNU GPL v2に示された条件を守る必要がある)。

開発チームはさらに、WordPress.comにアクセスするための新しいMacアプリも提供している。いろいろな意味でこのMacアプリはSlackのデスクトップ・アプリに似ている。最新のウェブ・テクノロジーとデスクトップのいいことを合わせ持っており、WordPress.comのウェブサイトでできることはほぼ全部できる上に通知など付加機能もある。Windows版、Linux版のアプリは開発中だ。

私はMacアプリをダンロードして短時間だが試してみた。WordPress.comに馴染みがあれば、アプリを開いただけで操作方法はすっかり分かってしまうだろう。実際そっくりなインターフェイスだ。それでもMacのドックにアプリのアイコンが表示されるのは安心感をさそうものがある。

WordPress.comの親会社であるAutomatticがこれほど膨大な手間のかかる作業に取り組むことにした理由は使ってみればわかる。新しいWordPress.comはローカルで作動する最新のウェブ・アプリのように感じる。つまり新興のライバルであるMediumのように軽快なのだ。

私はTechCrunchの一部のライターのような WordPressのパワーユーザーではないが、それでも新しいWordPress.comがクリーンで効率的な記事執筆のプラットフォームだということは見てとれた。インターフェイスは現在ウェブ上で記事を書いている人々の大部分に魅力的だろう。

現在、世界のウェブサイトの25%はWordPressで動いているという。これは決してささいな数ではない。 WordPressはもはや最近生まれた元気いっぱいのスタートアップではなく、ウェブの巨人だ。しかし今日のアップデートでAutomatticは依然として環境の変化とライバルの動向に敏感であることを示した。WordPressの将来にとってこれはよいことだ。

  1. screen-shot-2015-11-23-at-19-49-04.png

  2. screen-shot-2015-11-23-at-19-49-44.png

  3. screen-shot-2015-11-23-at-19-49-561.png

[原文へ]

(翻訳:滑川海彦@Facebook Google+