ようこそのお運びで、厚く御礼申し上げます。
「セキュリティ対策」については、様々な意見がありますが、ちょっとずつ定期的に書いていこうとおもいます。
今回は、前回の補足記事(結果的に)。
「まとめる」より「見える化(認識するには)」が大事
前回は「まず話そう!ブレインストーミングしようよ!」と書きました。
ここから今後の記事の方向性が
- WordPressのセキュリティ対策についての話し合い方・考え方
- セキュリティ対策をして行く設定方法・サーバの決め方
- その他・技術系の話や具体的な事案・その後の対応策等々
といった感じで、個人の一ブログでは情報が「発散」してしまいます。
全部網羅できるとカッコいいのですが、残念ながら私も「見えない視点」があります。
なので、まずは私自身の「認識するには(見える化)」を考え、ちょっとずつ解きほぐしていけたらなと思います。
「アンカンファレンス」ということは意外と新鮮?
前回、意外と良かったらしいブレストの話。手法は色々あるので「ワールド・カフェ」とか試しながら勉強会をしてみようかなとおもっています。
Facebookのコメントでも意見を貰いました。
意見を交わす中でのピックアップとして
- 個人ブログレベル→大規模レベルに広げていけば初心者にもわかりやすい
- 改ざんが多い(W杯時期は特にw)
- よくあるFTPのパスワードを感染で流出、ウィルスは自己消去で痕跡残さず。一定期間(1-3ヶ月)の潜伏で改竄、iframeの挿入でロシアとかのドメインにアクセスするようになってたりして接続先にウィルスがいたり
- WPのアップデートを怠ったり、プラグインに脆弱性があるものは、容赦なくやられてホスティングの人からアカウント一時凍結
- 脆弱性診断ツールの基本的な物が必要かも
- 他の製品の脆弱性探すよりFlashの脆弱性探す方が楽かも
- プロバイダ選びが重要
一般的な利用者はWPのセキュリティーを考えておけば良いけど、素人には分からない - そもそも、セキュリティーって何?
「私のパソコンにウイルスバスター入ってますよ!!」と普通になんの疑問もなく言われることもある - 何がどうなっていてどこが危険なのかをきちんと分かっていないところに問題がある
- WPのバージョンアップだの、プラグインのアップデートだのはそう言うことを「分化」しないとわかってもらえない
- もしやられてしまったらどうするか。これは、重要。
いやー、混沌としますが、コレが今回重要。どれも気になるコメントですよ。
意見やコメントをもとに、考えていけたらなと思うこと
- 何が「セキュリティ」、「セキュリティ対策」なのか?
- どんな事象が起きてしまうのか?
- 「誰」もしくは「どこ」に、原因がある事象があるか?
- 対策:「誰」もしくは「どこ」が「どのような」対策ができるのか?
- やられてしまったらどうするのか?
- そのうえでWordPressが「当てはまる部分」はなんなのか?
※こんな感じでしょうか、あまり「まとめたくない」ですが、ひとまずこんな感じです。
セキュリティ対策は「危機感をあおる」ものではない
こういう記事を書くと、人によっては「危機感をあおる」ものになってしまい、それが「アレルギーの原因」なってしまいます。人によっては反発します。もちろん間違いじゃないのですが、
勉強会などで「認識」をしてその上で
「わからない部分は他の人に頼ってみる」
ということができるのが WordBench等のコミュニティの良いところなんじゃないかなーっとおもいます。
まとめ「個人発信」→「みんなではなせたらいいよね」
って感じなブログにしていこうとおもいます。いろんな意見があってあたりまえ(ちょっとはずかしい)。
前回とたいして変わらない、「補足記事」になりましたが、お後がよろしいようで。
次回は、Codexに書いているセキュリティを読んでみようと思います。