うまく行かなかった話なので簡単に書きたい(でも長くなったw)。
前回などに書いた、嫌なボット、邪悪な企業、不正アクセスのブロックや、以前書いた(初歩的な)国際化の作業をしていて、再び、このブログのアクセス解析(例: どのページが人気あるか、どの地域からアクセスされるか)をしたくなった。
実際、何かをした効果を知るために測定することは重要だ。
ちなみに、プラグインの評価のために、WP Staticticsを短期間使って調べたところでは、以前試した時と同様にMusicBee関連ページへのアクセスが最も多かった。アクセス元は、当然ながら国内が最も多く、次は中国だった。また、アクセス頻度は少なく、訪問者(ユニークIPアドレス)数は1日100件前後、アクセスページ数は1日200件前後だった(どちらもボットを除く)。
数年前にSlimstat Analyticsなど試したが、機能や出来が今一つだったのと、解析することに大きな意味がない※と思って止めたため、今回も同じような結果になりそうだと思いつつも始めたが、やっぱり駄目だった。
※「エゴサーチ」に近いものがあると思っている。熱中したり一喜一憂すると、良いことはない。そして、アクセス数が多くなるような稿を書くのが目的でなく、書いたものが結果的にアクセスが多くなれば良しだ。
そもそも、良い(僕の用途・要望に合う)アクセス解析プラグインがなかった。(プラグインではないが)Google Analyticsも含めて いろいろ検討したが、どれも以下の問題があって今一つだった。
- アクセスを捕捉できない。
- 正しく or 全く捕捉できない。
- 機能が不足している・貧弱。
- 問題・不具合が多い。
- 無料でない/有料サービスに誘導する。
それでも いろいろ探して以下を試してみたが、ボロボロだった。それらの重要な問題を書く。
- WP Statictics: アクセス捕捉のために訪問者のブラウザからREST APIにアクセスさせるのは、現在の一般的なセキュリティの認識からは不適切で常識に欠ける。
- 近頃の更新でREST API(wp-json)にアクセスさせるようになったようだ。
- 変更履歴にサラッと書いてあったが、もっとちゃんと説明すべきだと思う。このプラグインは そういう説明不足な点が多い。
- WPのセキュリティ面での弱点になるため、ログインユーザ以外からのREST APIをブロックするセキュリティプラグインがある。それを有効にしている場合はアクセスを集計できない。
- そもそも、後述のadmin-ajaxも含め、多くの弱点を作り出しているWPが悪いのだが、今は置いておく。
- 近頃の更新でREST API(wp-json)にアクセスさせるようになったようだ。
- Slimstat Analytics(以下、Slimstat): (まともに使えるようにするための)設定に手間が掛かり過ぎるうえに、問題・欠点・我慢すべきことが多過ぎて、使う気が失せる。
- IPv6アドレス(範囲)での除外ができない。
- 以前使った時はIPv4アドレスでの除外処理に不具合があって、修正案を連絡したものの随分長く放置された(どうも、作者が(メンタル面で)調子悪かったようだ)。
- 余りにも問題が多い。最初は連絡して直してもらおうと思って居たが、多過ぎる!: 以下に例を挙げる。
- リダイレクト(HTTP 301)を除外できないため、アクセス数が重複してカウントされてしまう。
- このブログは、現在の一般的な規範?に従い、HTTPをHTTPSに自動リダイレクトしている。
- ブラウザのad-blockerを解除しないと、管理画面が ちゃんと出ない。
- 変なサイトから部品を取り込んでいるのだろうか?
- トラッカーをクライアント(JavaScript(以下、JS)でアクセスを捕捉する)にすると、最近のブラウザ・サーバのプライバシー・セキュリティ強化(例: トラッキング拒否, CSP)のため、アクセスを捕捉できない場合が多い。
- 特に、Edgeは ほとんど駄目だった。
- グラフの日付の処理が まともにできていない(これで使う気がなくなった!)。: 過去1か月や1週間の表示の時に、表示期間全部のデータがない場合に期間の頭からグラフを描くので、日がズレる。
- 以前使った時もそうだった気がする。
- リダイレクト(HTTP 301)を除外できないため、アクセス数が重複してカウントされてしまう。
- 機能は多いが、それらの詰めが甘い。
- アクセスを捕捉するために、訪問者のブラウザからadmin-ajaxにアクセスさせる。
- REST APIと同様にセキュリティ的に不安がある。
- ただ、簡単に塞ぐことができないし、塞ぐことは一般的でないので、仕方ない。
- REST APIと同様にセキュリティ的に不安がある。
- IPv6アドレス(範囲)での除外ができない。
- Koko Analytics: ちゃんと集計できない。機能が少な過ぎる。
- ちゃんと集計できないのはWP Staticticsと同じ原因(REST API)だろうか?
- IPアドレスでの除外設定ができない。
- アクセス元の地域を調べられない。
- (プラグインではないが)Google Analytics (以下、GA)
- プラグインが全滅だったので、手軽に ちゃんと動きそうなので試した。
- ところが、最近のブラウザ・サーバのプライバシー・セキュリティ強化(上を参照)のために、アクセス捕捉用のJSが実行できず、アクセスを全く捕捉できなかった。
- 上記のSlimstatよりひどく、僕が主に使っているVivaldiとFirefox(どちらもプライバシー設定を一番厳密にしている)ではJSが実行できないために、全く捕捉できなかった。
- 他の訪問者からのアクセスも、全く捕捉しなかった。
- 捕捉用JSをローカルに持って来て使っている方が居るようだが、見てみると、(どんな複雑なことをしているのか分からないが、)異常にサイズが大きく、難読化されていて論外なので、全くその気が起こらなかった。
使えるものが何もなくなったので、自分でサーバのアクセスログから集計するプログラムを作るほうが良さそうだと思った*ものの、それも大変なので、ログを集計するソフト※を探して使うのが良さそうだという結論になった。
*サーバのログにはアクセス履歴が全部あるのだから、それを使えばサイトやページを変更することなく解析できるし、嫌われている・問題になっているユーザのトラッキングを しなくて済む。
ただ、サーバのログを集計するのは問題でないのかは不明だ。: 例えば、GDPR的には どうなんだろうか?: まあ、自サイトだけの集計は「トラッキング」(追跡: 他サイトへのアクセスも含めて調査することを指すと思われる)とは言わなさそうではある。
※探したらいくつかあったが、まあ、やる気が継続していたら試すことにする。
おまけ: Internet Archiveの謎
アクセスログのチェックやアクセス解析をしていて不思議に思ったのは、Internet Archive (Wayback Machine)は一体どうやってページを収集しているのかということだ。
というのは、先月以降のログを検索しても、それらのUAが全く出て来なかったからだ。※ とすると、以前書いた邪悪な企業と同様に、「あらゆる手段」*で収集しているとしか思えない。: 調べると、公式ページにはアクセス元を識別するための情報は見付からなかった(UAは あったかも知れない)し、他者の情報によれば、UAやドメインは複数あるし、IPアドレスは随時変化するらしいからだ。
※更に、Wayback Machineの このブログの最終収集日(5/6)に サーバにアクセスはなかった。
*他の団体からの情報提供も受けているのかも知れない。
いかにもUS的な、「正しいことは何でも独断で やって良い」みたいな思想なのだろうか。それで嫌ってブロックする人も居るから、ちゃんとすればいいと思う。
全くの想像だが、これや以前書いた邪悪なセキュリティ企業は、密かにUSの情報面での戦力として位置づけられているので、「やり放題」なのかも知れない。
なんて書くと、「おや、誰か来―」になってしまうかも? 危ないな。
おまけ2: WPとプラグインの危うさ
良く「*プラグインの脆弱性が見付かった」という記事が出るが、危ないものを「無効」にしているだけでは危険を防げないことを、(本文に書いた)アクセス解析や不正アクセスの検出のためにログを見ている時に気付いた。というのは、「無効」にしてもプラグインのファイルはそのままなので、外部からURLを推測されてアクセスされれば、脆弱性を突かれてしまうのだ。。。※ だから、プラグインのディレクトリごと削除しないと駄目なのだ。
※ログには、そういう脆弱と思われるプラグインのファイル(PHP)をアクセスしようとしているものがあった。PHPの前に、プラグインの有無を調べるためか、テキストファイルにアクセスしているものもあった。
以前、「無効にしているだけでは不充分」と読んだのは このことだったのだ。
WPのクソさに呆れている。
なぜ、WPは そういう問題があるのを知っているはずなのに直さないのだろうか?