• 解決済 muro

    (@muromuro)


    現在、自作のテーマを作成中なのですが、同じ作業場に居る人から、なぜ子テーマじゃなくて一から作ってるのか。と聞かれました。
    その方の言うとおり、既存のテーマを親テーマにすることなく、一からテーマを作成しています。
    しかし、その方が子テーマで作ってほしい理由としては、twentyシリーズなどを親テーマにすれば頻繁にアップデートがあるから、セキュリティに強いからだそうです。

    しかし私はそれには納得できず、以下の理由を挙げて反論しました。
    ・あくまでもテーマは公開画面上のデザインを左右するもので、システム絡みはテーマではなくてコアファイルに書かれているはずなので、セキュリティが向上はありえない。
    ・システム絡みを編集したいならば、テーマではなくプラグインに書くべき。
    ・子テーマにする必要があるのは、その親テーマのデザインを元にしたデザインを作りたいとき。
    ・そもそも今回作りたいテーマは、親テーマとデザインが違いすぎる。
    ・今回作成するテーマに必要ないjsなどが親テーマに含まれているので、子テーマにしてしまうとそれらまで読み込んでしまう。
    ・まだ作成していないphpを使用するページに入ると、親テーマのphpが表示されるので、phpを作成したのかしていないのか紛らわしい。
    ・親テーマにもしも欠陥があった場合は、子テーマに影響を及ぼす。
    ・親テーマに欠陥があることに気付かず、子テーマ側に原因がないかと延々探してしまう恐れもある。

    親テーマと丸っきりデザインが異なるサイトであっても、子テーマにするべきなのでしょうか?
    そもそも親テーマが存在しないテーマなんて多数あるはずなのに…。

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • モデレーター Okamoto Hidetaka

    (@hideokamoto)

    子テーマにする(親テーマを利用する)と安全というのは違うかなと思います。

    公式ディレクトリにあるテーマでも開発が終了しているものなどでは、
    XSSをはじめとする脆弱性が報告されています。
    http://jvn.jp/jp/JVN97281747/

    既に公開されているテーマをカスタマイズして利用したい場合に子テーマを作成してカスタマイズすると、親テーマがセキュリティアップデートなどを実施した際に対応できるということではないでしょうか。

    もし自作テーマの安全性を確認されたい場合は、ThemeCheckプラグインの利用をお勧めします。
    紹介記事:https://firegoby.jp/archives/2691

    @okamoto Hidetaka さん

    もし自作テーマの安全性を確認されたい場合は、ThemeCheckプラグインの利用をお勧めします。

    セキュリティに関する質問のようなので、誤解を受けるといけないので 補足させてください。

    テーマチェックプラグインは、脆弱性チェックは出来ないと思います。

    例 twentyfifteen で、あからさまな脆弱性のあるコードを記述したとします。

    function twentyfifteen_template ( ) {
    	if( isset( $_GET['my_template'] ) ) {
    		get_template_part( esc_html( $_GET['my_template'] ) );
    	}
    }

    このコードは、テーマチェックプラグインでパスしますが、テンプレートでこの関数を実行した場合

    http://www.example.com/wp/?my_template=../../../hello

    と書き換えられると、ルートにある hello.phpにアクセスできます。( ディレクトリトラバーサル )

    トピック投稿者 muro

    (@muromuro)

    回答ありがとうございます。
    やはり親テーマを利用したからといって、いきなり安全になるといったようなことは無さそうですね。

    しかし、今回は一から自作のテーマなので、もし脆弱性があったら自分で直さないといけないという手間がありますが、
    子テーマだと、その親テーマが仮に欠陥があったとしても、頻繁にアップデートされているならば、脆弱性対策の手間を任せられるという利点があるといえますね。
    親テーマのphpをほとんどそのまま使わないといけないという点もありますが。

    プラグインも紹介していただき、ありがとうございます。
    完全な対策ではないかもしれませんが、テーマにおかしな点がないか一度確認してみたいと思います。

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • トピック「親テーマを利用すると、セキュリティが向上する?」には新たに返信することはできません。