WordPressテーマを選ぶ
ワードプレスには、テーマというブラウザで閲覧した場合の、表示やナビゲーションを記述する特別なファイル群があります。
私は、いわゆる公式テーマを3つほど制作していて、現在もバグフィックスやメンテナンス作業を行っています。
公式テーマや標準テーマ、独自配布のテーマの違いを知る事で、デザインだけで選ぶテーマ選びに新たな視点が生まれてくるといい、と思いメモを残します
テーマの種類
大きく分けると
- 付属している標準テーマ(Twentyelevenやtwentyten,twentytwelveというwordpressdotorgから供給されるテーマ)
- 公式テーマ サードパーティが、供給するレビューチームによる人間が、コードやテンプレートをチェックするレビュー審査を受けたテーマ( 合格率は22%程度で、結構厳しい )
- 独自にテーマファイルを配布するWEBサイト(有料・無料)があります。
テーマが行う事
公式テーマや標準テーマファイルは、基本的にはブログを表示するため*1
に、基本設定が行われています。
( オプションとして、ホームページを表示する設定を含んでいる場合もあります。そのような設定のあるページは、主に固定ページを使って作られています)
一方、利用する人たちは(インストール型のWordPressを選択する人)は、単にブログとして使うという目的の人たちは、すでにja.wordpress.comという無料で始められるサービスも、すでに定着しており、自分の構築したいWEBサイトのイメージは既にあることが多いのではないかと思います。
このような人たちの一部は、標準テーマや公式テーマにはない。自由に機能を拡張させて提供されている非公式な独自配布サイトから、より自分のイメージに近いテーマを選択して利用する事もあります
独自配布サイトの場合は、WordPressのルールが及ばず、自由に制作、配布できるので、自分たちに有利なカスタマイズも行われている事があり、一部では、バックドアを設置するなど悪質な行為もあり、深刻な問題をはらんでいます。
テーマをカスタマイズしたり新作する理由
いわゆるホームページやWEBサイトと呼ばれるものは、時間軸をベースとするニュースやお知らせといったコンテンツだけでなく、企業サイトであれば、商品や、会社情報などといった時間軸を使わないカテゴリーベースのページを必要とします。
カテゴリベースの機能もWordPressはサポートしていますが、それぞれのプロジェクトを上手に表示するためのカスタマイズが必要になります。
本体とテーマのインストール
ワードプレスのインストールについては、自動化が進んでいて、データベースを作成する設定をWEBサーバーで行えるスキルがあれば(自動インストールが出来るサーバーの場合はそれさえ必要としません)誰でも、簡単にWEBサイトを立ち上げる事が出来ます。
本体のインストールが完了すると、ワードプレスエクステンドテーマディレクトリにある1600(実質的には、500個ほど)のテーマファイルの中から、好みに応じて選択するだけで、テーマをインストールできます。
テーマの特徴
標準テーマ
Twentyelevenなどの標準テーマは、動作に問題がないように事前テストされています。
シンプルに、カスタマイズがしやすいように作られていますが、追加機能などを、自前でカスタマイズする必要があります。
公式テーマ
レビューチームの審査に合格した 用途に応じて、カスタマイズが施されているテーマ
管理画面などから、設定を変更する事で、レイアウトや、配色を買えることが出来るものも少なくない。テーマ用のサイト、制作者サイトへのリンクと、サイトの内容のチェックが、レビューの内容に含まれています。
独自配布サイトのテーマ
有料テーマ等、ワードプレス公式ディレクトリにホストできないテーマや、
独自の無料テーマの配布
独自の、フォーラムを持つものや有償サポートをするものもある。
テーマの現況
標準テーマ
WordPress3.5(2012年末リリース予定)からは、標準テーマは、毎年新しいテーマが付属する事になる。
現在は、Twentyten Twentyeleven Twentytwelveの三種
公式テーマ
二年以上更新のないテーマは、注意書きが表示される状態で、全体で1600種類のテーマを利用する事が出来る。
テーマには、誰でも、評価を付ける事が出来る。
テーマに関する質問などへのリンクがあり、サポートの状況を確認できる。
自由に質問できる。
独自配布サイトのテーマ
...
テーマ選択上の注意点
WordPress theme共に、GPLライセンスで配布されていますが、独自テーマサイトでは、配布サイトへのリンクの義務化などをうたっているものもあるので、公式テーマ以外では、ライセンス等に注意が必要。独自配布サイトでは、悪質なプログラムを含むものもある。(ダウンロードして、セキュリティソフトウェアなどでチェックしても、PHPスクリプトなどは、検出されない)
公式テーマのレビューとは、
例:
例えば、Raindropsというテーマは、これまでに、2010年の11月から、レビュー申請を現在まで103回ほど行ってきました。その内、レビューの審査で落第したものや、自分でバグに気づいて、申請しなおした回数は、63回ほどになります。
累積ダウンロード数は、10万ダウンロードを少し越えた辺りにいます。
この間に、新しくテーマディレクトリに登録されたテーマファイルは、300を超えています。
毎月、15から20数個程度の新しいテーマが生まれ続けています。
レビューチケットは、当初#1701だったものが、現時点では、#9761になっており、9000チケットがきられている事になります。
いわゆるチケットの合格率は、Weekly Stats: Trendsによれば、22%程度になっているようです。
危険の回避
オープンソースの場合、どこかで「オープンな状態」が途切れたところに、いろいろな問題が発生すると私は、考えるようになりました
WordPressのテーマやプラグインの公式のものは、レビューの過程も、結果も、誰でもいつでも閲覧できるように、すべてが公開されています。
また、そのテーマの問題点の指摘も、解決もすべては、公開されたプロセスの中で行われています。
その事が、テーマの健全性に寄与しているというのは事実だろうと思います。
テーマが適正なものかどうかをチェックする方法の一つとして、デベロッパー用のプラグインを使って、テーマをチェックする方法などが多くのWEBサイトで紹介されたりしていますが、もともと健全なテーマを評価する一つの方法として準備されているものなので、限界があります。
テーマがアクティブになっていなくても、ワードプレスの内側で動作するので、検査した時には、やられているというのは、ありえるわけで、
やはり、これインストールしたら、おかしな事になったという、先人の教えに目を光らせるのがいいのでしょう。
現状では、テーマが安全かどうか、事前検査する方法は、ほとんど見つかりません。
制作者のスキルに依存しています。
テーマファイルの選択のノーハウ的な問題は、それぞれ検査ツールを自作するなどしていて、オープンソースとして、公開するような考え方はあまりないのかもしれません。
非推奨関数のチェック一つでも、古いバージョンへ互換のために、レビューで許容される範囲で、本体のバージョンにあわせて、使い分けている場合もあり、単に機械的な判定だけではすまない部分もあります
では、特別な「見極め方」を持っていない普通の人は、どのようにしてテーマの安全性を見極めるべきか
- 公式テーマであっても、独自配布テーマであっても、直近のメジャーバージョン*2よりも、最終更新日が新しいテーマの中から選択する。
- Googleなどで、テーマの評判をチェックする。
- テーマが決まったら、
- 独自テーマにフォーラムがあれば、なにか質問してみる。
- 本人や、他のユーザーがレスポンスしてくれるかチェックする
- フォーラムがないなら、簡単な質問をメールで送信して、返事があるか確認する。
「オープンな状態」が途切れる 配布以外の問題
私たちが、普段から目にする事が出来るワードプレスで作られたWEBサイトを見ると、style.cssを見せない仕組みにしていたり、ワードプレスと知られないような作り方を意図的に行っているサイトをたくさん発見する事が出来ます。
不正アクセスを防止するために、WordPressで制作した事を隠蔽する目的で行われているのだろうと思われ、それは、もちろん利用者の裁量で自由な事ではありますが、
最新のワードプレスの、想定する利用形態は、常に最新のワードプレスを使い続ける事によって、リスクを低減して、安全を確保していくという考え方で、そのため、アップデートも自動化され、ボタン一つで処理が完了する形態になっています。
隠蔽処理は、更新される毎に、隠蔽処理が行われる例は、ほとんどなく、むしろ、最新を使い続ける事が困難な状況になっている事もあるのではないかと心配しています。
テーマについても、同様で、チャイルドテーマという仕組みが導入され、テーマのカスタマイズを失わずに、親テーマを最新に更新する道筋が出来ていますが、この点について、一般にチャイルドテーマ化が進んでおらず、更新停滞によるリスクは少なからずあるのではないかと心配です。
制作サイドのワードプレステーマの設計が古いと、テーマ側が、バグなどの修正を行ったとしても、テーマを更新しても親テーマを使ったテーマでは、カスタマイズが失われるので、バグを内包したまま、テーマが維持される事になり、テーマファイルのバグフィックスや更新は無意味に帰します
ある時期の、最高の技術で作られたWordPressサイトでさえ、秘密主義に専心すれば、時間の経過と共に、非常にリスキーなものになっていくのは、明白です。
特別なものは、完成したら、すぐに劣化が始まりますよね。
アップデートできないものを作ったら、メジャーアップデートのたびに、500個ぐらいは、問題点を積み上げていくわけで、どこまで、先送りできるかは、誰にもわかりません。
秘密にするべきものは、テーマなどには存在しなくて、コンテンツそのものや、カスタマイズされたほんの一部のロジックしかないのではないかと思います。
テーマファイルは、コンテンツを綴じておく、いわばバインダーのようなものです。
最新のワードプレスを利用し続けられる環境と、常に新しいバージョンに対応した改修が行われているベーステーマを見つけるか、作り出すことをおすすめします。
カスタマイズは、チャイルドテーマを使うのが現状では一番いいと思います。
Aside
デベロッパーツールのテーマチェックプラグインを使って、テーマを調べてみると、たくさんの、エラーが検出されます。
例えば、あなたが公式テーマの申請をして、エラー表示されている関数などを使っていたとします。
エラーの出るような関数を使っていれば、ほぼ間違いなく、指摘され、審査を通過する事は出来ません。
でも、調べたテーマでは、エラーは出ているものの、紛れもなく公式ディレクトリでダウンロードできる。
自分にだけ、特に厳しく審査されているのでしょうか?
そんな事は 大抵 思い過ごしで、新しく申請しているテーマは、最新のレギュレーションを、完全にクリアしていなければなりません。
テーマチェックプラグインの警告 Recommend,Require以外の警告について
例えば、include が使われているという info としても、テンプレートで、includeを使っていれば、includeを使わなければならない明確な理由を表明できない限り、審査を通過できないだろうと思います。
確認したわけではありませんが、infoは、ワードプレスのレビューレギュレーションに明確に定義されていないが、特別な事がない限り利用できないようなファイル操作系関数やインクルードなどが使われた時に使われているのではないかと感じています。
いったん合格したテーマは、その後のレギュレーションの変更で、必ず守らなければならないルールとなったものは、原則 推奨ルールとして扱われるために、現在流通しているテーマのいくつかに、ショートコードが使われているのに、自分が申請したテーマにショートコードを含めると、「そういう事はプラグインでやってくれ」という結果になります。
そういう意味では、新しいテーマは、常に最新のWordPressで使うべきもので、古いワードプレスで使った場合、障害が発生しないという事は、誰も確認していません。
既に、合格したテーマは、旧バージョンから、使い続けてくれるユーザーがいるかもしれません。
善良な、テーマ開発者は、2重の手間をかけて、古いバージョンでも問題なく動作するようなコードを書きます。
(既存テーマの後方互換性は、以前のルールでは、2バージョン、最近1バージョン推奨になりましたので、この範囲で旧バージョン対応をテーマ開発者は、裁量します)
一方で、テーマチェックプラグインでチェックすると、後方互換のためのコードはすべて、非推奨関数として処理され、検査の結果としては、劣悪な印象を与えます。
それでも、テーマ開発者は、対応している事もある。
なぜか、
Statistics | WordPress.orgをみれば、3.3のフォローを続けるべきだと考えるテーマ制作者がいても、ぜんぜん不思議じゃないですよね。
テーマチェックをしたら、そのような事も少し考慮に入れてくれよーー とお願いしたい
*1:ブログを表示するための設定とは、時間軸をベースにしてコンテンツを分類する方法を指します。
*2:WordPress_Versionsで調べられます。現在のバージョンが3.4なら、最低でも、3.3の公開日以降に更新されているか、現在のバージョンが望ましい