ここはちょっと見せられない

ぜったいぜったい見せられない

WordpressとWEBとセキュリティとその運用。PHPを少し勉強したデザイナーに向けて。

WEB WordPress

色々めんどくさいので、ここに書いとく。
メール送るときのテンプレート。適宜減らして書けるようにとりあえず言いたいこと全部書いておく。無論自戒含む。
使いたい人が居たら使ってもらったらいい。
直してくれる人がいるなら指摘大歓迎。


                              • -

Wordpress本体、プラグイン、テーマ には、更新作業を必要とするものが殆どです。その多くは脆弱性対応です。

私がプラグインを選定する際には、なるべく更新が頻繁に行われているものを選んでいます。
古くて放置されているものは危険と言ってもまあ間違いないと思います。
もちろん、中には内容的にシンプルで更新の必要のないものもありますが、多くはないと思います。

本来なら、テーマはデザインを担うもので更新が必要とは思えない部分ですが、中には、テーマに多くの機能を載せてしまい、プラグインのようなふるまいをするものがあるようです。

テーマには余計な機能は載せず、Wordpress本体の機能とプラグインの機能のみを使うべきでしょう。

更新のお知らせが出ると顧客が混乱するからと言って、更新を止めるような事をするのは大きな間違いです。更新のお知らせを止めるプラグインを入れてはなりません。
管理画面に更新のお知らせが出た際には、積極的に更新作業をして下さい。
更新されても良いように設計、実装をすることはコーディングするものの義務でしょう。

もちろん、Wordpressのコアファイルを変更したという理由で更新を止めるのはナンセンス以外の何物でもありません。
コアファイルは変更してはいけません。変更せずに済む方法を見つけて下さい。


バックアップも重要です。

手軽にバックアップできるプラグインがあります。
管理画面上から、簡単にダウンロードできるようになっています。
定期的に自動で動かすこともできます。

是非、定期的にバックアップをし、その都度ローカルディスクにバックアップファイルをダウンロードしてください。
顧客にその運用をお任せできるものなら、していただくのが良いでしょう。

このようなWEBのセキュリティの話をすると、Wordpressを使うんじゃなかった、などと思われる方もいらっしゃるかもしれませんが、きちんと更新をすれば問題無く使うことが出来るものです。

リスクで言えば、Windowsにウィルス対策をせずに使ったり、Windowsの更新をせずにいたり、古いInternetExploler を使い続けたりする方がよほど危険で、数年前にはGumblarというウィルスが猛威をふるったのも記憶に新しいところです。この時、FTP通信がターゲットになりました。
FTP通信は暗号化されておらず、通信内容からIDとパスワードを盗まれてしまい、HPが改ざんされたのです。

補足ですが、FFFTPFTP over SSL通信 ができませんし、パスワードの文字列は生のまま保存されていました。有志サポートによる一番新しいバージョンの物を使えば暗号化されるようになりましたが、他のものを使った方が良いでしょう。有志によるサポートは続いているものの、製作者本人による更新、サポートは終了しています。

セキュリティは一か所だけをあげつらうものではなく、総合的にネットに繋がっているものすべてが関係するという意識を持って、更新、運用にあたらなければならないものであると認識頂ければ幸いです。