ようこそのお運びで、厚く御礼申し上げます。
さてさて、「1日1プラグイン」をしていて気になっていることもあったので、今回は「セキュリティ対策」について調べてみたいと思います。
受けが悪いのはわかっているけど書く
前いたの会社ではネットワークエンジニアの先輩がいたので、ここら辺の話は良くしていたのですが、会社を止めて、この話を人にすると意外と「受けが悪い」。
なので自分なりに封印していたけど、あえて思っていることを書いてみます。
ひとこと「セキュリティ対策」といっても、どこから手をつければ良いかわかんない・・・。
そう、まず打ち当たるのは↑コレなんです。「自分の見えている部分だけ」で考えてしまうと結構落とし穴があったりします。
思いつくだけでも・・・。
- WebサーバーやDBサーバーへの不正アクセス等
- パーミッション等の人為的設定ミスにおける不正アクセス
- ダウンロードしてきたプラグインの正当性・セキュリティホール
- 自作プラグイン等のコードのハック
- WordPress本体へのセキュリティホール
- ※あとは私がまだ知らない世界でのセキュリティホール
デザイナー・プログラマー・ネットワークエンジニア等々、人によっては「見えてない部分」が多すぎるような気がします。サポートはしっかりしているのでしょうが、知識として知っておくことも必要な気がします。
「セキュリティ対策」…敷居が高く感じてしまう実情
「勉強会等でしてみたい!」と思うけど、うまく伝えないと人が集まらなかったり…それはなぜ?とおもったのですが、やはり原因は「誰でも簡単にホームページを作れるツール」になってしまったからかも・・・。
「私はデザイナー兼コーダーだからそんな難しい話わかんない」
「サーバー管理者がやってくれてるから大丈夫!」
「めんどさい」
「ググれば、セキュリティ対策のプラグインなんてたくさんあるからいらない」
「人が集まんないから勉強会ができない。しても何を話せば良いかいまいちわかんない」
・・・どきっとした人います?ちなみに私は「めんどくさい」・・・だったようなw。
CMSが出てきて数年、サーバー側の対策が軽視されてきているような…
昔はお客様にホームページを提案するとき
「不正アクセス・書き換えされても、即座に対策・修正可能なシステム」を提案していたような気がします。
お金があるところは今でも対策をしていますが、
コスト面や使いやすさ等のキャッチーな提案でとってきたところは、もう省かれているよねきっと。
「軽視」というより、
「わかんない・めんどくさい領域」「お金がかかる領域」「サーバー運用会社がやる領域」という認識になってきたのかもしれない。小さい会社やフリーランスは…さてどうだ。
WordPressは大規模サイトに使っても大丈夫か?
たぶん、「うーん」と思う人と、「大丈夫!!」と思う人がやっぱりいると思う。
後者の場合、わかって「大丈夫!」と言っているか、狭い視野で「大丈夫!」と言ってるか・・・。
どきどきドキドキ・・・
どんな事件が今まで起きた?そのときの対策って?
調べれば色々出てくるのですが、参考に見てみましょう。
外部ページへの参考リンクです
- https://wordpress.web-security.asia/news-cat/%E3%82%B5%E3%82%A4%E3%83%88%E6%94%B9%E3%81%96%E3%82%93/
- 【重要】日本中のWebサイトへの改ざん攻撃が多発中 4月から1000サイト以上が被害に
- 5月から多発しているHP改ざんインシデントをまとめてみた。
こんなところも有名な事件
※調べてビックリ。え、改ざん復旧ってビジネスになってるの(最初のリンク)。
対策主体の勉強会もいいけど、まずは話してみませんか?
たしかに、ネットワークエンジニアの人とか、デザイナー・コーダー・プログラマの人とかが集まって話すのが一番だけど、なかなか集まらない。
それは「視野の問題」で「何を主軸に話すか?」がつきまとうから。
まとまりのない話に、自分の大切な時間を費やすのがもったいないと思う人はいるでしょ?
”セキュリティ対策においての「ブレインストーミング」をしたい”
コレが主軸じゃよわいのかな?だめかな?
・・・と思ったので、今回、この記事を書いてみました。
次回は、自分なりに調べてまた何か書いてみます。
※余談
人のことは言えないのでつっこまなかったけど、
「事件が起きた」→「セキュリティ対策にはこれだ!」という記事のながれは、
明らかにアフィサイトだよね。イヤ便上商法うまいw!
私が言いたいのは、「WordPressはオープンソースなんだから、危険上等だよ!」っていう認識。
頭の片隅にだけでもね。「絶対安全」はまずない。