Webの世界において、デザインや発展性とともに、セキュリティというキーワードは今日私達が直面している最重要事項の1つに数えられます。また、WordPressなどオープンソースを使用している場合はより一層のセキュリティ強化が求められることでしょう。残念ながら、時代の流れとともにセキュリティに関する課題はより難易度が増すものだと言わざるを得ません。
WordPressはそれ自体が自動攻撃の的とされています。ボットは他の多くの悪意ある攻撃行為とともに、強制的なログインやスクリプトやデータベースの操作を試みるものとされています。ボットによる攻撃を防ぐことは不可欠ですが、それさえ押さえておけば良いのだとは到底言えません。
私達がカバーしておくべき他の脅威は確かに存在します。WordPressサイトにおいては自動攻撃対策よりも、利用者の振るまいについて今一度振り返っておくことが、より重要と言えるかもしれません。このことを念頭に置いて、セキュリティの安全性を向上させるために今からできる5つのヒントを確認していきましょう。
1.利用者に最善の措置(ベストプラクティス)を教育すること
Webの世界においてデザイナーの仕事には、顧客への教育が含まれることが多いことでしょう。このとき、コンテンツそのものの教育に主眼が置かれがちですが、セキュリティについて教育する機会でもあります。セキュリティ教育というと小難しく聞こえるかもしれませんが必ずしもそうである必要はありません。
利用者がまず知るべきなのは、オンラインの安全利用の基本事項です。基本事項とは例えば以下のようなポイントです。
例:
・すぐに解かれてしまわないような複雑なパスワードを使用する。
・バックエンドシステムには必要最低限のユーザーのみアクセス可とする。
・重要ソフトウェア、プラグイン、テーマは常に最新状態に保つ(責任を伴う場合)。
・リスク事項を確認せずしてプラグインをインストールしない。
・どのプラグインを利用するかは専門家に一任すること。
これらの項目はWordPressだけでなく、Webサイトを利用するうえで広範囲に適用できる考え方です。不要なリスクをなくしていくために、利用者に自分たちがどんな危険なことをしているのか考えさせるということです。
2.プラグインは慎重に選択し、細心の注意を払い続けること
WordPressサイトの構築に長期間携わった方であれば、数多く存在するプラグインが同等のものではないことをご存知でしょう。どんな人でも(おそらく)プラグインを作成することができるため、その品質は大きく変わる可能性が潜在しています。したがってインストールする前に、少しはそのプラグインについて調べることが重要です。更新頻度やサポートセンター、可能であれば利用者数も確認しましょう。そのプラグインが安全性に足るものであるか、いくらか推定するヒントとなるでしょう。
しかし、いったんプラグインを使用することを決めたとしても、この先の円滑な利用が保証されている訳ではありません。むしろ、ご自身で継続的にメンテナンスしていく対象が増えたと考えたる方が良いです。プラグインは一度世にリリースされると製作者自身はメンテナンスの時間や関心を失い、古くなったり放棄されたりすることが稀ではありません。また、悪意のあるプラグインが気づかないうちに売られていることもあり得ます。
これらの可能性に対処するため、最新情報を押さえ続けられるポジションにいることが重要といえます。あなたが使用しているプラグインを知っておき最新バージョンを保つこと、そして常にWordPress関連のニュースに注意を払うことを意味します。
最後に、管理しているサイトは定期的に監査を行うようにしましょう。リスク軽減のための1つの簡単な方法は、利用実績のないまたは不要なプラグインをただ削除することです。これ自体が潜在的なリスク回避のために役立ちます。
3. SSLの活用
かつてのSSLは、電子商取引サイトや機密情報を扱う特別なWebサイトだけに使用されるものでしたが、最近ではスタンダード要素となっています。ブラウザと検索エンジン双方とも、http通信からその先の通信を利用するサイトにおいて利用者に警告を促すことが重要とされています。
Webデザイナーとして私達が直面する問題は、WordPressサイトにSSLを追加すること自体は簡単ですが、証明書の取得に関する決定権は持ち合わせていないということです。SSLについて提唱し、顧客に対して私たちが提供できるオプションではないことを理解してもらう必要があります。
運が良ければ、Let’s Encryptのような無料認証局のサービスの恩恵に預かれるかもしれません。もしそうでなければ、証明書の取得における低コスト化の代替案などを構えておく必要があると言えるでしょう。
4.支援サービスの利用
いつ何時もサイトの監視することは人間には不可能です。しかし、24時間365日監視の便利なツールがあります。WordfenceやiThemes Securityなどセキュリティプラグインは、怪しいプログラムや振るまいを検知するのに最適なツールです。
例えば、これらプラグインは、ログイン試行回数の制限、悪意あるプログラムの実行回避、ソフトウェアが古くなったときの通知などを行ってくれます。またプレミアムバージョンでは、国別ブロックや2要素認証などの追加機能が利用できます。
これらプラグインの価値はボットと人間双方からのよくある脅威に対応できるというところです。これらはあなたのサイトを100%守ることが難しいものの、しっかりと保護階層の一部になってくれます。そしてより重要なのは、あなたのサイトを安全に導くために現在有効な情報を提供してくれるということです。
5.不要な機能は無効にすること
WordPressの新規インストールには多くの組込機能が伴います。しかし細かな個別機能全てを利用することは少ないでしょう。使用しない個別機能をオンにしておくことは無意味です。
コメント機能は諸悪の根源です。すべてのサイトで有効にする必要はありませんし、スパム対策を使用しているサイトもあります。あなたが構築しているサイトにこの機能が必要ない場合は、WordPressのディスカッション設定において無効にしておきましょう。
この他、REST API、Gravatars、XML-RPCなどの機能も利用していない可能性が高いものとして見てください。
私達自身のセキュリティへの脅威
WordPressサイトのセキュリティにおける最大の脅威は、特定の自動攻撃でなく、私達自身の行動です。だからこそ私達の行動を変えることで、脅威に対して自身のサイトを遥かに強靭にすることができます。
上記5つのヒントには「自分自身が能動的であること」という1つの共通スタンスがあります。知識を共有し、使用するソフトウェアのバックグラウンドを確かめ、問題が発生する前に安全措置を実装しておくことといったセキュリティ優先の考えに立つことを私達は推奨します。あらゆる脅威を全て止めることは不可能ですが、その戦いにおいて私達を最良の立場に置くことに繋がるのです。
おすすめ新着記事
おすすめタグ